Kann über jeden Port gleichzeitig empfangen und gesendert werden?
Das muss sogar sein, damit du die Antwort vom Server erhalten kannst.
Beispiel:
Du rufst die Seite
http://www.google.de ab.
In diesem Fall ist der _Remote_port 80, was durch das "http://" angegeben wird.
Gleichzeitig wird bei dir lokal von Windows ein Port, der noch nicht benutzt wird (nennen wir ihn mal 3100), freigegeben und an deinen Browser übertragen.
Der Browser öffnet nun über diesen Port eine Verbindung zu dem Port 80 des Servers, auf dem google.de liegt.
Dabei spricht man dann von einer ausgehenden Verbindung, da dein PC die Anfrage schickt.
Umgekehrt geht es, wenn du bei dir zu Hause einen Webserver stehen hast.
Dann werden von außerhalb Anfragen an den Port 80 dieses Servers geschickt, d.h. man spricht von einer eingehenden Verbindung, da ein Remote-PC die Verbindung anfordert.
Ich habe bisher immer gedacht, dass es vollkommen ausreicht die ausgehenden Ports zu sperren bis auf die Standartports
Damit liegst du normalerweise richtig, wenn du verhindern willst, dass irgendeine Software unerlaubte Verbindungen nach draußen aufbaut.
Die Standardeinstellung bei solchen Firewalls ist aber eine andere.
Laut dem Bild dort zu urteilen, verbietest du erstmal alle eingehenden Verbindungen
und erlaubst jegliche ausgehende Verbindung.
Das ist die Normalkonfiguration, wodurch verhindert werden soll, dass ein Angreifer Schwachstellen in einer Anwendung ausnutzt, die lokal läuft.
Allerdings dürfen bereits vorhande Trojaner etc. nach außen funken, wie sie wollen.
Wenn du alle Ports sperrst, hast du erstmal keinen Zugriff mehr aufs Web von irgendeinem PC deines LANs.
Das sollte recht einfach gehen, indem du bei dem letzten Punkt (Allow - Default - LAN, * - *, * - IP(0), *) aus dem "Allow" ein Deny machst.
Ich selbst habe noch nie so ein Ding in der Hand gehabt, aber du wirst dann höchstwahrscheinlich für jeden Port, den du benutzen willst, eine neue Regel hinzufügen müssen.
Für HTTP wäre der Eintrag entsprechend :
Code:
Action: Allow
Source: LAN; IP Range: *
Destination: WAN; IP Range: *
Protocol: TCP; Port Range: 80
Damit hast du jedem Rechner in deinem LAN Zugriff auf sämtliche Internetseiten freigeschaltet.