vielleicht muss man erstmal verstehen, wie so eine Firewall funktioniert:
es gibt Software-Firewalls wie die von Windows, oder irgendwelchen Internet-Security-Softwarepaketen:
da müssen dann idR erstmal die Anwendungen als solches für die Netzwerkkommunikation zugelassen werden, als auch die verwendeten Ports. Ports in den meisten Fällen nur für "ungefragt eingehende Daten", bezüglich ausgehenden Daten reicht idR die Freigabe der Anwendung als solches (ist aber auch abhängig von der Software).
dann gibt es Router Firewalls:
hier werden idR ausgehende Daten nicht blockiert, sondern nur "ungefragt eingehende Daten". Dementsprechend braucht es auch nur Firewallregeln für eingehenden Traffic. Auf Anwendungsebene wie bei Software-Firewalls kann man in einem Router auch nicht sperren, wie auch, für den Router kommt alles aus dem Lan, von der dahinter liegende Anwendung/EXE-Datei weiss der Router nix.
Nehmen wir den Fall: du rufst eine Webseite auf. Dazu hast du eine URL, daraus macht der DNS-Server eine IP = ist schon mal klar, welcher Internetserver, oder auch lokale private Internetanschluss angesprochen wird. Parallel dazu, so TCP/IP-Protokoll-mässig, gibt es neben der IP dann noch Ports, denn sonst wäre eine IP auf eine Anwendung beschränkt, das wäre ja doof. Von diesen Ports gibt es ca 65tsnd, die also je IP genutzt werden können. Von diesen Ports sind einige genormte Ports, sogenannte Standardports, für das HTTP-Protokoll ist das Port 80, für HTTP
S ist es Port 443. Tippt man jetzt nur
www.unitymediaforum.de im Browser ein, wird der Browser nach dem auflösen der IP-Adresse diesen Server auf Port 80 ansprechen, steht in der Adresszeile http
s://unitymediaforum.de wird der Browser den Server auf Port 443 kontaktieren. Theoretisch kann man einen HTTP-Server auch auf einen anderen Port legen, z.B. auf die 88. Technisch tuts es das exakt genauso gut, nur nutzt der Browser erstmal den Standardport, oder man muss das mitgeben, z.B.
www.unitymediaforum.de:88 - dann nutzt der Browser nicht den Standardport, sondern den direkt angegebenen. Wird man wohl nichts drüber erreichen (gehe ich mal von aus, ohne es zu testen), aber wenn man
www.unitymediaforum.de:80 eingibt halt schon - nur muss man diese :80 nicht eingeben, denn wenn man keine Angabe : Portnummer macht, wird dieser Standardport per se genommen. Im Grunde gibt es immer nur <IP><Portnummer>, eine IP ohne ohne Portnummer hat keinen Wert, da könntest du genauso gut eine Ziffer der IP weglassen. Nur weil du einen Server auf Port 80 kontaktieren möchtest, müssen die Daten auf deiner Seite aber nicht auf Port 80 raus gehen. Per se wäre der Port 80 dann ja auch nur für einen Prozess (= eine Webbrowser-Kartekarte) nutzbar, heutzutage haben die meisten Leute aber 10 oder mehr Webseiten parallel auf. Also schickt dein PC deine Anfrage z.B vom freien Port, sagen wir 65432 an deinen Router (und den parallelen Aufruf einer weiteren Webseite schickt der PC halt von deiner Lan-IP mit der Portnummer 65431 usw).
So, jetzt kommt dein Datenpaket bestimmt für
www.unitymediaforum.de:80 vom Lan aus bei deinem Router an, bzw. kommt beim Router schon an: 104.28.9.59:80 (denn die Namensauflösung macht der PC/das lokale Gerät). Jetzt packt die Router-Firewall deine Daten auf einen "nicht Standardport", so wie es schon der PC gemacht hat und schickt diese raus, sagen wir weil es leicht zu tippen ist, der Router schickt die Daten an den Server abgehend über Port 12345 raus, weil der noch frei ist, noch keine andere Anfrage eines anderen Lan-Gerätes in den letzten Minuten über diesen Port raus gegangen ist (meist wird der Port für 3-10 Minuten reserviert). Beim Server kommt die Anfrage auf Port 80 an, das ist gut so, weil auf Port 80 ein typischer HTTP-Server lauscht. Damit die gewünschten Daten jetzt zurück zu deinem PC kommen, muss der Server natürlich antworten. Dazu hat er die IP deines Routers und der Webserver weiss auch, dass die Anfrage von deinem Router über Port 12345 rausgegangen ist (weil das halt mit übermittelt wird, ist halt Teil des TCP/IP-Protokolls) - also schickt der Foren-Server die Daten zurück an die Internet-IP deines Routers und addressiert diese an Port 12345. Und dein Router weiss halt, dass ankommende Daten auf Port 12345 an die Lan-IP deines PCs und an Port 65432 zu schicken sind. Analysiert der Router auch nicht weiter, der nimmt einfach was auf einem Port wie der 12345 rein kommt und wenn der Router dafür eine lokale Gegenstelle gemappt hat, dann ändert der Router den Port auf die Port-Nummer auf welcher das lokale Gerät/dein PC vorher die Anfrage für den Forenserver an deinen Router geschickt hat. Wie erwähnt reserviert ein Router diesen virtuellen/"nicht Standard" Port für ca. 3 bis 10 Minuten, danach vergisst der Router das wieder, sonst wären selbst 65tsnd Ports zumindest nach ein paar Tagen im Betrieb schnell ausgereizt. Ausserdem, wenn die Router-Firewall den Port nicht irgendwann wieder schliesst, könnten dauerhaft Daten über diesen Port an deinen PC geschickt werden, dann braucht es keine Firewall mehr. Sagen wir einfach 3 Minuten, das reicht ja auch, wenn du das Forum hier aufrufst und nach 3 Minuten wäre noch nichts an Daten zurück gekommen, dann hat man auch keinen Bock mehr darauf (dann wäre der Server wohl auch down), ebenfalls hat ein Webbrowser einen Timeout und gibt dann ene Fehlermeldung aus. Für die zurückkommenden Datenpakete schickt dein PC auch eine "Erhalten-Antwort" zurück (zumindest bei TCP, bei UDP wird das nicht bestätigt, bei UDP glaubt der Server einfach, dass die Daten ankommen), womit die Verbindung halt in beide Richtungen aktiv bleibt, diese 3 Minuten Timeout immer wieder neu anfangen zu laufen.
Das ist der Standardweg für eine Standardanwendung, der für die meisten Anwendungen auch reicht.
Aber eben nicht für alles, so ein Spieleserver mag dir Daten deiner Mitspieler zuschicken wollen, ohne das du/die Spiele-Software auf deinem PC diese aktiv angefragt hast = es kommen also Daten an deinem Router an, welche keine Antwort auf von dir raus gesendete Daten sind. Wenn dein Router mit Daten die jetzt hier bei dem Beispiel des Spieles an Port 9000 oder 9010 (oder einer Nummer dazwischen) adressiert sind ankommen, weiss dein Router ja nicht, was er damit machen soll und welchem lokalen Lan-Gerät der Router das Datenpaket zuschicken soll, es existiert ja kein Mapping dafür. Also das "ungefragte Datenpaket" kommt an deiner Internet-IP an und auch immer mit einer Portnummer, diese gehört einfach vom TCP/IP-Standard mit dazu, keine Portnummer ist wie nur eine halbe IP-Adresse = funzt nicht.
Und nur dafür richtest du jetzt Freigaben im Router ein, damit der Router weiss: Daten die an Port 9000-9010 ankommen, gehen immer an die Lan-IP deines PCs und dort lauscht dann ja die Spiele-Software auf den Ports 9000-9010 auf eingehende Spiele-Daten. Beendest du das Spiel, lauscht auch keine Software mehr auf diesen Ports = die Datenpakete werden verworfen/gelöscht, denn kann dein Windows nix mit anfangen, wenn keine Software aktiv ist die sagt "Daten die auf Port 9000 ankommen sind für mich".
Von daher kann man im eigenen Lan/hinter dem eigenen Router auch einen HTTP-Server betreiben, also einen Server der standardmässig auf Port 80 lauscht, oder einen HTTPS-Server auf dem Standardport 443 und um diesen Server vom Internet aus erreichbar zu machen, muss man dann eben Port 80 freigeben für die lokale Lan-IP, welche dein privater Webserver im Lan erhalten hat. Damit kann dann jeder Externe über die Anfragen an "deine-Internet-IP:80" deinen Webserver aufrufen und parallel dazu kannst du natürlich andere Webseiten aufrufen, auch mit mehreren Browsern, auch mit mehreren Lan-Geräten parallel, weil die Standardportnummer nur beim angerufenen Server benutzt wird, aber dein Router schickt es halt wie im Beispiel über Port 12345 raus und bekommt dementsprechend die auf Port 12345 eingehenden Daten vom Server zurück, um diese weiter an deinen PC und den Port 65432. Rufst du eine weitere Karteikarte im Webbrowser auf, ist das technisch eine weitere Instanz, eigentlich nichts anderes wie einen anderen Webbrowser aufrufen. Und schickst du über die 2 Kartekarte, oder einen anderen Browser Anfragen an Webseiten raus, dann macht das der PC über einen anderen Port, der Port 65432 ist ja schon in Benutzung und dann weisst der Router diesen Daten natürlich eine andere Portnummer zu, z.B. die 12346. Und kommen jetzt Daten aus dem Internet bei deinem Router auf Port 12346 an, dann schickt der Router die Daten an die gleiche IP-Adresse/deinen PC, aber eben an die andere Portnummer zurück, womit die Daten am PC auch dem richtigen Prozess, der richtigen Karteikarte, bzw. dem zweiten Webbrowser zugewiesen werden. Schliesslich erwartet man ja, dass wenn man 3-4 Webseiten parallel aufruft, dass diese Seiten sich alle einzeln korrekt aufbauen und es nicht einen Klumpatsch aus Datensalat darstellt.
Damit ist hoffentlich etwas klarer, warum man manchmal Portfreigaben braucht, auch wenn das idR nicht nötig ist. Das Menü ist natürlich abhängig von der Router-Software. Manchmal kann man nur eine Portnummer pro Freigabe eintragen, idR bieten die Menüs aber die Möglichkeit Bereiche wie eben 9000 bis 9010 in einer Freigabe zu definieren. Und meist muss man dazu noch das Protokoll mit angeben, also TCP oder UDP (und manche Router bieten da noch mehr an), also gegebenenfalls je Protokoll eine Freigabe einrichten. Gute Firewalls lassen es auch noch zu den Internet-IP-Adressbereich festzulegen, von welchem Daten auf den freigegebenen Portnummern akzeptiert werden. Hat der Server immer die gleiche IP kann man das aus Sicherheitsgründen mit in der Firewallregel einstellen, ansonsten und "üblich" ist halt das Einrichten von Portfreigaben für "alle Internet-IP-Adressen" (und wenn die Daten nicht vom Server kommen, sondern zwischen den Spielern direkt ausgetauscht werden, muss es natürlich auch eine globale Freigabe für alle Internet-IPs sein).
Grundsätzlich können auch diese Freigaben automatisch eingerichtet werden, das nennt man dann UPnP (Ultra Plug and Play). Das muss das Betriebssystems des PCs/der Lan-Hardware unterstützen (konnte schon Windows XP, ist nichts neues), natürlich muss es auch die Spiele-Software unterstützen, dass diese überhaupt die Anfrage an das Betriebssystem weitergibt, einen Port öffnen zu lassen und es muss der Router unterstützen. Die meisten Router können das, aber es ist in der Regel von Werk ab deaktiviert. Auch hier wieder abhängig vom Router/der Router-Software, ob das nur global aktiviert werden kann, oder je PC/Lan-Gerät, also Lan-IP. Wenn man das nutzt, sollte man schon ab und an gucken, welche Ports sich hier einfach so ohne das du es eingerichtet hast automatisch geöffnet haben und für welche Lan-IP halt. Manche Programme lassen diese Ports auch wieder schliessen beim Beenden, aber nicht alle. Spielt bei dir auch glaub ich keine Rolle, unter dem Link zu konfiguration steht ja nix von UPnP (auch wenn das 2007 schon gefunzt hat). Aber zumindest könntest du testen, ob das Aktivieren von UPnP im Router eventuell schon reicht.
Eine Portfreigabe, egal ob manuell eingerichtet, oder automatisch, ist ein Abschnittsweise die Firewall abschalten, auf freigegebenen Ports gehen die eingehenden Daten halt immer ungefragt vom Router an die zugewiesene Lan-IP. Aber wenn z.B. das Spiel nicht aktiv ist, dann >>hört<< an deinem Windows (oder Mac, oder Linux, oder Android) auf diesem Port eben keine Anwendung auf die eingehenden Daten und das Datenpaket wandert in den Müll.
Jetzt hast du deine Portfreigabe wie im Help-Forum beschrieben eingerichtet und... dann muss das immer noch nicht funktionieren, denn jetzt ist noch entscheidend, was für eine Art von IP du von deinem Provider bekommen hast
der Spiele-Server von 2007 wird eine IPv4 haben und wenn du selber auch eine IPv4 vom Provider hast, dann kann der Server dir auf diese IP mit der du dich am Server angemeldet hast in Kombination mit deiner Portfreigabe auch ungefragt auf Port 9000-9010 Daten zusenden die direkt an deinem Internetrouter ankommen und mit der von dir eingerichteten Freigabe zu deinem lokalen PC gelangen = alles fein. Hast du aber nur eine IPv6 vom Provider (z.B. bei Unitymedia seit 4-5 Jahren für neue Privatverträge üblich), dann kann dein Router nicht direkt einen IPv4-Server ansprechen. IPv4 und IPv6 können parallel existieren, beim Internetanschluss spricht man dann von Dual Stack = du hast sowohl IPv4 wie auch IPv6 direkt an deinem Router anliegen/dein Internet-Router ist über beide Protokolle direkt erreichbar, die beiden Protokolle haben aber nichts miteinander gemeinsam. Daher schickt bei einem reinen IPv6-Internetanschluss dein Internetrouter Anfragen an eine IPv4 über ein Gateway deines Providers, welcher die Daten deines Routers die über IPv6 am Gateway ankommen auf IPv4 umwandelt. Auch das läuft über das beschriebene Portmapping, damit das Gateway zurückkommende Daten auch wieder an deine IP zurück schickt. Hier sind es halt nicht die lokalen Lan-Geräte in deiner Wohnung, sondern ein Haufen Unitymedia-Kunden, welche sich ein Gateway teilen. Damit hat dann der Spiele-Server nicht deine IPv4, die du eventuell halt gar nicht hast, sondern die IP vom Unity-Gateway. Und da würde bei "am Gateway ungefragt eingehenden Daten die keine Antwort auf ein von dir raus gesendetes Datenpaket sind" dieses Gateway eben nicht wissen, was es mit diesen Daten die da einfach so auf Port 9000 ankommen, machen soll (könnt ja auch dein Nachbar das gleiche Spiel spielen). Ist also wie mit der Firewall in deinem Internetrouter, einziger, grosser Unterschied: auf dem Gatewayserver kann der Endkunde/du keine Freigabe einrichten, das Ding steht irgendwo bei Unitymedia und nicht in deiner Wohnung *g* Für einen Kunden mit reiner IPv4-Adresse würde es sich genauso verhalten, wenn der Spiele-Server nur über IPv6 erreichbar wäre. Dann könnte der Spiele-Server über das IPv6 Protokoll zwar problemlos einen reinen IPv6 Internetanschluss ansprechen = Daten schicken, aber nicht an eine IPv4. Denn hast du nur IPv4, brauchst du zum Aufrufen von IPv6-Servern ebenfalls so ein Gateway, welches deine IPv4-Daten übersetzt auf IPv6 und da wäre das "keine Freigabe einrichten können durch den Endkunden" das gleiche. Allerdings gibt es kaum Spiele-Server welche nur über IPv6 zu erreichen sind, heutzutage üblich ist eher, dass Spiele-Server sowohl IPv6 wie auch IPv4 haben (also Dual Stack) um alle Kunden bedienen zu können, egal ob diese Kunden IPv4, IPv6, oder beides haben.
