FeM-Net > FeM-Net-FAQ > Firewall > 
Deutsch

Was ist die FeM-Firewall?

Die FeM-Firewall ist ein Paketfilter, der auf unserem zentralen Router eingerichtet wurde. Die FeM-Firewall wird gemeinsam vom Rechenzentrum und der FeM e.V. administriert.

Der Paketfilter besitzt folgende Regeln:

  • jeglicher UDP-Traffic ist gesperrt
  • TCP-Verbindungen, die von außerhalb des FeM-Net nach innen aufgebaut werden, sind gesperrt.
  • TCP-Verbindungen, die von innen nach außen aufgebaut werden, sind nicht gesperrt, mit Ausnahme der Ports 135, 137-139, 445 (SMB)

Welchen Zweck hat die Firewall?

Die Firewall zwischen dem FeM-Net und dem Internet hat verschiedene Ziele. Hierzu gehören:

  • Verhinderung der Verbreitung von Schadsoftware über den Internetuplink
  • Einschränkung der Nutzung von trafficintensiven Anwendungen (z.B. P2P-Tauschbörsen)
  • Verhinderung des Anbietens von Internetdiensten aus dem FeM-Net heraus


Diese Merkmale können nicht alleine durch den Paketfilter erreicht werden. Es gibt immer Wege, den Paketfilter zu umgehen. Der notwendige höhere Aufwand, der zum Umgehen des Paketfilters notwendig ist, verhindert aber bereits den größten Teil der oben aufgezählten Probleme, die ohne den Paketfilter gehäuft auftreten würden bzw. von uns administrativ nicht mehr zu bewältigen wären.

Ist es möglich Ports für Anwendung XYZ freizugeben?

In den meisten Fällen ist es nicht möglich bestimmte Anwendungen bzw. Internetprotokolle freizugeben. Eine weitere Öffnung des Paketfilters würde die Eigenschaften, die der Paketfilter zu erfüllen hat, zusätzlich schwächen. Aus diesem Grund schalten wir in der Regel keine Anwendungen im Paketfilter frei.

Speziell bei folgenden Zielen ist eine Freischaltung von Ports nicht möglich:

  • damit ein bestimmtes Spiel funktioniert
  • damit eine bestimmte Anwendung funktioniert, die ich kommerziell nutze
  • damit eine bestimmte Anwendung funktioniert, die ich rein privat nutze


Der Internetuplink wird explizit nicht für die oben genannten Nutzungen zur Verfügung gestellt. Eine Änderung der Paketfilterregeln wird nicht erfolgen. Es lohnt es sich auch nicht danach zu fragen.

In den folgenden Fällen kann man evtl. mal nachfragen:

  • wenn eine bestimmte Anwendung für die Arbeit im Studium sehr dringend benötigt wird.
  • wenn eine bestimmte Anwendung für die Arbeit an einem Projekt der FeM e.V. benötigt wird.


Eine Veränderung der Firewallregelungen ist auch in diesem Fall eher unwahrscheinlich. Aber wir denken darüber nach, ob man hier ggf. eine Lösung finden kann.

Spiel A ist in der Firewall freigeschaltet, Anwendung B aber nicht. Ist das nicht unfair?

Im Paketfilter werden keine Anwendungen freigeschaltet bzw. gesperrt, sondern Ports (eine besondere Form von Adressen für Internetverkehr). Wenn eine Anwendung für seinen Internetverkehr ausschließlich Ports nutzt, die im Paketfilter freigeschalten sind, dann kann diese Anwendung über das Internet kommunizieren, obwohl das für andere Anwendungen nicht möglich ist.

Beispielsweise könnte sich Spiel A über den TCP-Port 80 mit dem Internet verbinden. Dieser Port wird normalerweise für das HTTP-Protokoll genutzt und ist deshalb natürlich freigeschaltet. Demnach funktioniert auch die Spiel A über den Internetuplink, obwohl das nicht vom Paketfilter explizit so vorgesehen ist. Wenn Anwendung B jetzt aber das UDP-Protokoll nutzt, dann funktioniert diese Anwendung eben nicht. Auch wenn die Nutzung der Anwendung B genauso legitim oder illegitim wäre, wie das Spielen von A. Eine Freischaltung von B aus Gründen der Gerechtigkeit ist allerdings nicht möglich. Wir würden auf diese Weise in den meisten Fällen andere zusätzliche Lücken im Paketfilter aufreißen, die explizit nicht gewünscht sind.