Netzwerk
Portnummern-Übersicht
Referenzliste gängiger TCP/UDP-Portnummern und ihrer Verwendung: FTP, SSH, HTTP, HTTPS, MySQL, Redis und mehr. Nützlich zum Konfigurieren von Firewall-Regeln und zur Fehlersuche bei "Connection refused"-Fehlern, mit Live-Suchfilter.
| Port | Protokoll | TCP/UDP | Bereich | Verwendung |
|---|---|---|---|---|
| 20 | FTP (Data) | TCP | Bekannte Ports | Wird für die FTP-Datenübertragung (aktiver Modus) verwendet. Wird zunehmend durch SFTP und FTPS ersetzt. |
| 21 | FTP (Control) | TCP | Bekannte Ports | Wird für die FTP-Steuerverbindung verwendet, über die Befehle und Antworten laufen. |
| 22 | SSH | TCP | Bekannte Ports | Wird für verschlüsselte Remote-Anmeldung per SSH sowie Dateiübertragung per SCP/SFTP verwendet. |
| 23 | Telnet | TCP | Bekannte Ports | Wird für unverschlüsselte Remote-Anmeldung per Telnet verwendet. Wegen Abhörrisiko wird SSH empfohlen. |
| 25 | SMTP | TCP | Bekannte Ports | Wird für die SMTP-Mailweiterleitung zwischen Mailservern verwendet. |
| 53 | DNS | TCP/UDP | Bekannte Ports | Wird für die DNS-Namensauflösung verwendet. Normale Anfragen nutzen UDP, Zonentransfers und große Antworten nutzen TCP. |
| 67 | DHCP (Server) | UDP | Bekannte Ports | Wird von einem DHCP-Server genutzt, um IP-Adressen an Clients zu vergeben. |
| 68 | DHCP (Client) | UDP | Bekannte Ports | Wird von einem DHCP-Client genutzt, um eine IP-Adresse anzufordern. |
| 69 | TFTP | UDP | Bekannte Ports | Wird für einfache, nicht authentifizierte Dateiübertragung per TFTP verwendet, häufig für Firmware-Updates von Netzwerkgeräten. |
| 80 | HTTP | TCP | Bekannte Ports | Wird für die unverschlüsselte Auslieferung von Webseiten per HTTP verwendet. |
| 110 | POP3 | TCP | Bekannte Ports | Wird von Mail-Clients zum Abrufen von E-Mails per POP3 verwendet. |
| 123 | NTP | UDP | Bekannte Ports | Wird für die Zeitsynchronisation zwischen Computern per NTP verwendet. |
| 143 | IMAP | TCP | Bekannte Ports | Wird zur Verwaltung und Synchronisierung von E-Mails über mehrere Geräte per IMAP verwendet. |
| 161 | SNMP | UDP | Bekannte Ports | Wird zur Überwachung und Statusabfrage von Netzwerkgeräten per SNMP verwendet. |
| 162 | SNMP Trap | UDP | Bekannte Ports | Wird zum Empfang von SNMP-Traps verwendet, unaufgefordert von Geräten gesendete Benachrichtigungen. |
| 194 | IRC | TCP | Bekannte Ports | Wird für Echtzeit-Chat per IRC verwendet. |
| 389 | LDAP | TCP | Bekannte Ports | Wird zur Abfrage von Verzeichnisdiensten (Benutzer- und Organisationsdaten) per LDAP verwendet. |
| 443 | HTTPS | TCP | Bekannte Ports | Wird für die sichere Auslieferung von Webseiten per HTTPS (HTTP über TLS) verwendet. |
| 445 | SMB | TCP | Bekannte Ports | Wird für Windows-Datei- und Druckerfreigabe per SMB verwendet. |
| 465 | SMTPS | TCP | Bekannte Ports | Wird für den verschlüsselten Mailversand per SMTPS (SMTP über TLS) verwendet. |
| 587 | SMTP Submission | TCP | Bekannte Ports | Standardport, über den Mail-Clients ausgehende E-Mails an einen Mailserver übermitteln. |
| 636 | LDAPS | TCP | Bekannte Ports | Wird für verschlüsselte Verzeichnisdienst-Kommunikation per LDAPS (LDAP über TLS) verwendet. |
| 993 | IMAPS | TCP | Bekannte Ports | Wird für verschlüsselte E-Mail-Synchronisierung per IMAPS (IMAP über TLS) verwendet. |
| 995 | POP3S | TCP | Bekannte Ports | Wird für verschlüsselten E-Mail-Abruf per POP3S (POP3 über TLS) verwendet. |
| 1433 | MSSQL | TCP | Registrierte Ports | Wird für Datenbankverbindungen zu Microsoft SQL Server verwendet. |
| 3306 | MySQL | TCP | Registrierte Ports | Wird für Datenbankverbindungen zu MySQL/MariaDB verwendet. |
| 3389 | RDP | TCP | Registrierte Ports | Wird für Windows-Remotedesktopverbindungen per RDP verwendet. |
| 5432 | PostgreSQL | TCP | Registrierte Ports | Wird für Datenbankverbindungen zu PostgreSQL verwendet. |
| 5900 | VNC | TCP | Registrierte Ports | Wird für Remotedesktop-Bildschirmfreigabe per VNC verwendet. |
| 6379 | Redis | TCP | Registrierte Ports | Wird für Verbindungen zum In-Memory-Datenspeicher Redis verwendet. |
| 8080 | HTTP (Alt) | TCP | Registrierte Ports | Gängiger alternativer HTTP-Port, oft genutzt von Proxyservern und Entwicklungs-Webservern. |
| 8443 | HTTPS (Alt) | TCP | Registrierte Ports | Gängiger alternativer HTTPS-Port, oft genutzt von Anwendungsservern wie Tomcat. |
| 9200 | Elasticsearch | TCP | Registrierte Ports | Wird für Verbindungen zur REST-API von Elasticsearch verwendet. |
| 27017 | MongoDB | TCP | Registrierte Ports | Wird für Datenbankverbindungen zu MongoDB verwendet. |
Tipps
- Öffnen Sie beim Schreiben von Firewall-Regeln nur die tatsächlich benötigten Ports und blockieren Sie standardmäßig alles andere — die Sicherheitsgrundlagen haben sich seit Jahrzehnten nicht geändert.
- Bei "Connection refused" zuerst mit Tools wie
netstat -anoderss -tlnpprüfen, ob der Dienst auf diesem Port tatsächlich lauscht. - Bekannte Ports (0–1023) wie 80 und 443 erfordern auf den meisten Betriebssystemen Administratorrechte zum Binden, weshalb nicht privilegierte Anwendungen oft Alternativen wie 8080 verwenden.
- Derselbe Dienst nutzt für seine unverschlüsselte und verschlüsselte Variante oft unterschiedliche Ports (z. B. 80/HTTP gegenüber 443/HTTPS, 21/FTP gegenüber 990/FTPS) — nicht verwechseln.
- Die Portnummern in dieser Übersicht lassen sich direkt für Security-Group-Regeln in Cloud-Umgebungen wie AWS, GCP und Azure verwenden.
Häufig gestellte Fragen
iptables, ufw, eine Cloud-Security-Group usw.) den Datenverkehr zu diesem Port blockiert.
Übrigens – Warum Portnummern nur bis 65535 gehen
Portnummern sind auf den Bereich 0–65535 begrenzt, weil das Feld für die Portnummer im TCP/UDP-Header als 16 Bit (2 Byte) definiert ist. Zwei hoch 16 ergibt 65536, sodass ohne Port 0 der nutzbare Bereich von 1 bis 65535 reicht. Dieses Design wurde Anfang der 1980er-Jahre bei der Standardisierung von TCP/IP festgelegt und seither nie geändert.
Die IANA (Internet Assigned Numbers Authority) unterteilt alle Ports in drei Bereiche: Die Ports 0–1023, die "bekannten Ports", sind für weit verbreitete Dienste wie HTTP und SSH reserviert. Die Ports 1024–49151, die "registrierten Ports", können von Unternehmen oder Projekten beantragt und registriert werden. Die Ports 49152–65535 sind "dynamische/private Ports", die Clients frei als temporäre Quellports nutzen.
Selbst bekannte Ports wie 80 (HTTP) und 443 (HTTPS) hatten nicht von Anfang an ihren heutigen Zweck. Port 443 wurde 1994 für HTTPS zugewiesen, als Netscape ihn bei der Entwicklung von SSL (Secure Sockets Layer) bei der IANA beantragte.
Um das Risiko von Port-Scanning-Angriffen zu verringern, ändern manche Produktionsserver den Standard-SSH-Port (22) auf einen anderen Wert, eine Technik, die manchmal "Port Knocking" genannt wird. Das ist jedoch Security through Obscurity und ersetzt nie grundlegende Maßnahmen wie starke Authentifizierung und aktuelle Patches.