Wie überprüfe ich, ob mein Heimserver dem Internet ausgesetzt ist?

Eva Wong ist die Technische Redakteurin und und leidenschaftliche Tüftlerin bei ZimaSpace. Eine lebenslange Geek mit einer Leidenschaft für Homelabs und Open-Source-Software, sie spezialisiert sich darauf, komplexe technische Konzepte in zugängliche, praktische Anleitungenzu übersetzen. Eva ist der Meinung, dass Self-Hosting Spaß machen und nicht einschüchternd sein sollte. Durch ihre Tutorials befähigt sie die Community, Hardware-Setups zu entmystifizieren, vom Bau ihres ersten NAS bis hin zur Beherrschung von Docker-Containern.

Ein Heimserver ist im Internet exponiert, wenn ein externes Gerät einen seiner Dienste über Ihre öffentliche Netzwerkverbindung erreichen kann. Diese Exponierung kann beabsichtigt sein, wie bei einer öffentlichen Website oder einem Spieleserver, oder unbeabsichtigt, wie bei einer alten Portweiterleitungsregel, die noch auf ein Admin-Panel zeigt.

Ein offener Port bedeutet nicht automatisch, dass Ihr Server gehackt wurde. Es bedeutet, dass etwas erreichbar ist und identifiziert werden muss. Die praktische Überprüfung besteht darin, Ihr Netzwerk von außen zu betrachten und dann jeden erreichbaren Port über Router, Firewall, Betriebssystem und Container zurückzuverfolgen, bis Sie genau wissen, welcher Dienst antwortet.

Was „Im Internet exponiert“ tatsächlich bedeutet

Angenommen, Ihr Mediaserver, Ihre Datei-App, Ihr SSH-Dienst oder Dashboard lädt, während Ihr Telefon mobile Daten verwendet. Das bedeutet nicht zwangsläufig, dass der gesamte Heimserver öffentlich ist. Es bedeutet normalerweise, dass eine bestimmte öffentliche IP und ein Port einen Dienst auf dieser Maschine erreichen können.

Das Risiko hängt davon ab, was exponiert ist. Eine gepflegte HTTPS-Website auf Port 443 ist etwas anderes als eine NAS-Administrationsseite, Datenbank, Docker-API oder ein passwortbasierter SSH-Dienst. Exponierung beschreibt die Erreichbarkeit; sie beschreibt nicht, ob der Dienst sicher, verwundbar oder bereits kompromittiert ist.

Das Ziel ist daher nicht, jeden Port zu schließen, ohne ihn zu verstehen. Das Ziel ist es, eine kurze Liste absichtlich öffentlicher Dienste zu führen und alles zu untersuchen, was nicht auf dieser Liste steht.

Führen Sie den ersten Test außerhalb Ihres Heimnetzwerks durch

Ein Test, der von Ihrem Heim-WLAN durchgeführt wird, zeigt möglicherweise nicht, was ein externer Nutzer sieht. Ihr Router unterstützt möglicherweise NAT-Loopback, Ihre Domain kann über lokales DNS auf eine private Adresse aufgelöst werden, oder die App wechselt stillschweigend zu einer LAN-Verbindung.

Schalten Sie das WLAN auf Ihrem Telefon aus und verwenden Sie mobile Daten. Versuchen Sie die öffentliche Domain, öffentliche IP oder Dienstadresse, von der Sie glauben, dass sie exponiert ist. Sie können auch von einem Büronetzwerk, einem anderen Haushalt oder einem Cloud-System, das Sie kontrollieren, testen. Testen Sie nur Systeme und Adressen, die Sie besitzen oder für die Sie autorisiert sind.

Wenn der Dienst von einem echten externen Netzwerk geladen wird, ist er über einen Pfad aus dem Internet erreichbar. Wenn dies fehlschlägt, beweist das noch nicht, dass alles geschlossen ist; der Dienst kann einen anderen Port, eine IPv6-Adresse, VPN, Relay oder Tunnel verwenden.

Identifizieren Sie die öffentliche Adresse, die Sie testen

Ihr Heimserver kann eine Adresse wie 192.168.1.50, während Ihr Router eine WAN-Adresse hat und Ihre Internetverbindung unter einer anderen öffentlichen IP erscheint. Diese Adressen dienen unterschiedlichen Zwecken.

Die private Adresse des Servers wird innerhalb des LAN verwendet. Ein externer Portprüfer testet normalerweise die öffentliche IPv4-Adresse oder den öffentlichen Hostnamen, den der externe Verkehr erreicht. Wenn die WAN-Adresse des Routers nicht mit der öffentlichen Adresse übereinstimmt, die von einem externen IP-Dienst angezeigt wird, könnte Ihr ISP die Verbindung hinter einem Carrier-Grade NAT platzieren.

Notieren Sie die LAN-IP des Servers, die WAN-IP des Routers, die öffentliche IPv4-Adresse, die öffentliche IPv6-Adresse, falls vorhanden, und alle von Ihnen verwendeten Domainnamen. Dies erleichtert es erheblich, ein externes Scan-Ergebnis der richtigen Routerregel und dem internen Gerät zuzuordnen.

Verwenden Sie eine externe Portprüfung, um erreichbare Dienste zu finden

Ein externer Portprüfer versucht, von außerhalb Ihres LAN eine Verbindung zu einem bestimmten Port herzustellen. Beginnen Sie mit Ports, von denen Sie wissen, dass sie mit Ihren Diensten verbunden sind, anstatt ohne Plan Tausende von Ports zu scannen.

Sie können einen bestimmten externen Port testen anhand Ihrer öffentlichen Adresse. Dies kann bestätigen, ob eine Portweiterleitungsregel funktioniert oder ob eine Firewall die Verbindung blockiert. Der Dienst muss normalerweise während des Tests aktiv sein; eine inaktive Anwendung kann eine ansonsten gültige Weiterleitungsregel als geschlossen erscheinen lassen.

Gängige Ports sind unter anderem 22 für SSH, 80 für HTTP, 443 für HTTPS, 445 für SMB, 3389 für Remote Desktop und anwendungsspezifische Ports für Medien-, Spiel- oder selbstgehostete Dienste. Gehen Sie nicht davon aus, dass ein hoher, benutzerdefinierter Port sicher ist, nur weil er weniger bekannt ist.

Ergebnis Was es normalerweise bedeutet Was als Nächstes zu tun ist
Offen Eine externe Verbindung hat einen lauschenden Dienst erreicht Identifizieren Sie die Anwendung und bestätigen Sie, dass die Freigabe beabsichtigt ist
Geschlossen Die Adresse hat geantwortet, aber kein Dienst hat die Verbindung akzeptiert Bestätigen Sie, dass dies Ihrer erwarteten Konfiguration entspricht
Gefiltert oder Zeitüberschreitung Eine Firewall, der ISP, eine CGNAT-Schicht oder der Netzwerkpfad könnten den Verkehr blockieren Überprüfen Sie den Router, den ISP-Pfad und die Server-Firewall
Unerwartete Dienstantwort Der Port kann zu einer anderen Anwendung führen als erwartet Deaktivieren Sie die Regel, bis der Dienst identifiziert ist

Überprüfen Sie jede Portweiterleitungsregel auf Ihrem Router

Portweiterleitung ist eine der direktesten Methoden, wie ein Heimdienst öffentlich wird. Eine Regel weist den Router an, Verkehr auf einem externen Port zu akzeptieren und an eine bestimmte interne IP-Adresse und einen Port weiterzuleiten.

Überprüfen Sie die Router-Abschnitte mit den Bezeichnungen Portweiterleitung, Virtueller Server, NAT-Regeln, Anwendungen oder Gaming. Notieren Sie für jede Regel den externen Port, das Protokoll, die Ziel-IP, den internen Port und den vorgesehenen Dienst. Wichtig ist das Mapping von öffentlichen zu privaten Ports, das einer externen Verbindung den Weg zu einem internen Gerät ermöglicht.

Löschen Sie Regeln, die keinen klaren Zweck mehr haben. Achten Sie besonders auf Weiterleitungsregeln, die auf Router-Administration, NAS-Administration, SSH, Remote Desktop, Datenbanken, Kamera-Schnittstellen oder alte selbstgehostete Apps abzielen, die nicht mehr gepflegt werden.

Prüfen Sie, ob UPnP Ports automatisch geöffnet hat

Sie können einen offenen Port finden, obwohl Sie nie manuell eine Weiterleitungsregel erstellt haben. Mediaserver, Spielkonsolen, Peer-to-Peer-Anwendungen, Kameras und andere Software können manchmal den Router bitten, automatisch eine Zuordnung zu erstellen.

Dieses Verhalten wird normalerweise durch Universal Plug and Play bereitgestellt. Anwendungen können automatische Router-Portzuordnungen über UPnP erstellen, was praktisch ist, aber die Überprüfung der Exposition erschwert, wenn Benutzer nicht wissen, welche Anwendung jede Regel angefordert hat.

Suchen Sie im Router-Interface nach einem UPnP-Status oder einer Port-Mapping-Tabelle. Entfernen Sie unerklärliche Zuordnungen und deaktivieren Sie UPnP, wenn es im Haushalt nicht benötigt wird. Wenn Sie es für eine bestimmte Anwendung aktiviert lassen, überprüfen Sie die Zuordnungen regelmäßig, anstatt anzunehmen, dass sie verschwinden, wenn die Anwendung geschlossen wird.

Stellen Sie sicher, dass der Server nicht als DMZ-Host eingestellt ist

Einige Heimrouter enthalten eine Einstellung namens DMZ-Host, Exposed Host oder Default Server. Trotz des Namens ist dies nicht dasselbe wie ein sorgfältig isoliertes Unternehmens-DMZ-Netzwerk.

Bei vielen Consumer-Routern leitet diese Einstellung unerwünschten eingehenden Datenverkehr, der keiner anderen Regel entspricht, an ein ausgewähltes internes Gerät weiter. Wenn der Heimserver ausgewählt ist, können viel mehr Ports erreichbar sein, als der Benutzer beabsichtigt hat.

Sofern Sie keinen spezifischen und gut verstandenen Grund haben, sollte der Server nicht als DMZ-Host konfiguriert sein. Deaktivieren Sie diese Einstellung und erstellen Sie nur enge Regeln für die einzelnen Dienste, die wirklich öffentlichen Zugriff benötigen.

Prüfen Sie, welche Dienste auf dem Server lauschen

Ein externer Scan zeigt, dass ein Port antwortet, aber nicht immer, welcher lokale Prozess ihn besitzt. Der nächste Schritt ist die Untersuchung des Servers selbst.

unter Linux Befehle wie ss -lntup lauscht und die zugehörigen Prozesse anzeigt. Unter Windows, netstat -ano und der Ressourcenmonitor können helfen, einen lauschenden Port mit einer Prozess-ID zu verbinden. Prüfen Sie, ob jeder Dienst auf 127.0.0.1eine bestimmte LAN-Adresse, 0.0.0.0oder eine IPv6-Adresse gebunden ist.

Ein Dienst, der an 127.0.0.1 ist normalerweise lokal auf dem Gerät. Ein Dienst, der an 0.0.0.0 oder :: hört auf mehreren Schnittstellen und kann öffentlich erreichbar werden, wenn der Router und die Firewall dies zulassen. Eine breite Bindung ist nicht automatisch unsicher, erhöht aber die Bedeutung der Firewall-Regeln.

Vergessen Sie nicht die Server-Firewall

Der Router ist nur eine Sicherheitsschicht. Linux-Firewall-Regeln, Windows-Firewall, eine Hypervisor-Firewall oder anwendungsspezifische Zugriffskontrollen können die endgültige Verbindung erlauben oder blockieren.

Überprüfen Sie eingehende Regeln und bestimmen Sie, ob sie nur für das LAN, alle Schnittstellen, bestimmte Quelladressen oder sowohl IPv4 als auch IPv6 gelten. Ein Anwendungsinstaller könnte automatisch eine Erlaubnisregel erstellt haben, und eine alte Regel könnte nach der Entfernung der Anwendung bestehen bleiben.

Eine nützliche Standardregel ist, unaufgeforderten eingehenden Verkehr zu verweigern und nur dort enge Ausnahmen hinzuzufügen, wo es erforderlich ist. Beschränken Sie Verwaltungsdienste wann immer möglich auf ein VPN-Subnetz oder vertrauenswürdige Quelladressen.

Docker-Port-Veröffentlichung kann mehr exponieren als erwartet

Container schaffen eine weitere Schicht zwischen dem externen Port und der Anwendung. Ein Compose-Eintrag wie 8080:80 veröffentlicht Container-Port 80 über Port 8080 auf dem Host.

Wenn ein veröffentlichter Host-Port durch Firewall und Router erreichbar ist, kann der Container internetseitig werden. Überprüfen Sie docker ps, Compose-Dateien, Host-Netzwerk, Reverse-Proxy-Konfiguration und jeder Container, der den Docker-Socket einbindet oder mit erhöhten Rechten läuft.

Veröffentlichen Sie nur Ports, die außerhalb des Container-Netzwerks erreichbar sein müssen. Interne Datenbanken, Caches, Dashboards und Service-zu-Service-APIs sollten normalerweise auf privaten Docker-Netzwerken bleiben und nicht auf jeder Host-Schnittstelle veröffentlicht werden.

Überprüfen Sie IPv6 separat von IPv4

Ein Server kann über öffentliches IPv4 unerreichbar sein und dennoch über IPv6 erreichbar sein. IPv6 hängt normalerweise nicht vom gleichen NAT-Port-Forwarding-Modell ab, das bei Heim-IPv4-Verbindungen verwendet wird.

Wenn Ihr ISP öffentliche IPv6-Adressen an Heimgeräte vergibt, wird die Router-Firewall zur Hauptgrenze. Ein Dienst, der auf :: kann eine öffentliche Adresse haben, auch wenn der IPv4-Portprüfer den entsprechenden Port als geschlossen meldet.

Überprüfen Sie die globalen IPv6-Adressen des Servers, die IPv6-Firewall-Regeln des Routers, öffentliche DNS-AAAA-Einträge und die Service-Bindung. Testen Sie IPv4 und IPv6 unabhängig, damit ein geschlossenes IPv4-Ergebnis kein falsches Vertrauen erzeugt.

Verwenden Sie Shodan als historische Sichtbarkeitsprüfung

Ein Live-Portscan zeigt, was jetzt antwortet. Sie möchten vielleicht auch wissen, ob ein Internet-Scanner zuvor Dienste an Ihrer öffentlichen Adresse indexiert hat.

Sie können die öffentlich indexierten Dienste, die mit einer IP-Adresse verbunden sind, überprüfen. Ergebnisse können Ports, Service-Banner, Zertifikate, Software-Namen oder andere während eines früheren Scans beobachtete Informationen enthalten.

Betrachten Sie dies als eine sekundäre Prüfung. Die Daten können veraltet sein, eine dynamische IP könnte zuvor einem anderen Kunden gehört haben, und ein neu geöffneter Port erscheint möglicherweise nicht sofort. Kein Shodan-Ergebnis beweist nicht, dass der Server unsichtbar oder sicher ist.

Vergleichen Sie jeden offenen Port mit einer Liste absichtlich geöffneter Dienste

Sobald Sie externe Ergebnisse, Router-Regeln, lauschende Dienste und Container-Zuordnungen haben, erstellen Sie eine Liste, die jeden erreichbaren Port erklärt. Dies ist der Schritt, der verstreute Prüfungen in ein Expositionsaudit verwandelt.

Klassifizieren Sie jeden Dienst als öffentlich nach Design, privater Fernzugriff, nur LAN oder unbekannt. Eine öffentliche Website gehört möglicherweise zur ersten Kategorie. Ein Dateifreigabe-, NAS-Admin-Panel- oder SSH-Dienst sollte hinter einem VPN liegen. Datenbanken und Docker-Verwaltungsoberflächen sollten in der Regel nur im LAN bleiben.

Alles, was als unbekannt markiert ist, sollte deaktiviert oder blockiert werden, bis es identifiziert ist. Es ist sicherer, einen unerklärten Dienst vorübergehend zu unterbrechen, als einen nicht identifizierten öffentlichen Zugangspunkt laufen zu lassen.

Prüfpunkt Zu beantwortende Frage
Öffentlicher Port Warum muss dieser Port Internetverkehr akzeptieren?
Lauschender Prozess Welche Anwendung oder welcher Container besitzt den Port?
Authentifizierung Erfordert der Dienst starke Zugangsdaten oder MFA?
Verschlüsselung Ist der Datenverkehr mit gültigem HTTPS oder einem anderen sicheren Protokoll geschützt?
Software-Status Wird die Anwendung noch gepflegt und aktualisiert?
Router-Zuordnung Wurde die Regel manuell, über UPnP oder durch ein anderes System erstellt?
Container-Konfiguration Veröffentlicht Docker einen Port, der intern bleiben sollte?
IPv6-Pfad Ist der Dienst über öffentliches IPv6 erreichbar?
Protokolle Gibt es unbekannte Anmeldeversuche, Anfragen oder Quelladressen?
Wiederherstellung Kann der Dienst und seine Daten nach einem Vorfall wiederhergestellt werden?

Was tun, wenn Sie einen unerwartet offenen Port finden

Wenn ein externer Scan einen SSH-Dienst, eine Admin-Oberfläche, eine Datenbank, eine Kameraseite, die Docker-API oder einen anderen Dienst findet, den Sie nicht veröffentlichen wollten, reduzieren Sie die Exposition, bevor Sie mit der Untersuchung fortfahren.

Deaktivieren Sie die Portweiterleitung oder UPnP-Zuordnung, entfernen Sie das Gerät aus einer DMZ-Einstellung, stoppen Sie den unnötigen Dienst und fügen Sie eine Firewall-Regel hinzu, die den Pfad blockiert. Aktualisieren Sie dann das Betriebssystem und die Anwendung, überprüfen Sie die letzten Zugriffsprotokolle und wechseln Sie Zugangsdaten oder API-Schlüssel, die möglicherweise offengelegt wurden.

Ein offener Port allein ist kein Beweis für eine Kompromittierung. Unbekannte Anmeldungen, veränderte Dateien, unbekannte Konten, unerklärliche Prozesse, neue geplante Aufgaben oder verdächtiger ausgehender Datenverkehr verdienen jedoch eine tiefere Vorfalluntersuchung statt einer einfachen Firewall-Änderung.

Wählen Sie eine Zugriffsmethode, die zum Dienst passt

Nicht jeder entfernte Dienst muss öffentlich sein. Persönlicher Dateizugriff, Dashboards, Serververwaltung, SSH, Hausautomation und private Mediatheken sind in der Regel für eine kleine Gruppe vertrauenswürdiger Nutzer gedacht.

Gängige Wege, wie selbstgehostete Dienste von außerhalb des LAN erreichbar werden, umfassen direkte Portweiterleitung, privaten VPN-Zugang, Mesh-VPNs, Reverse-Proxies und Tunnel. Diese Methoden schaffen unterschiedliche Expositions- und Vertrauensgrenzen.

Öffentliche Websites sollten öffentlich bleiben, wenn dies ihr Zweck ist, aber administrative und persönliche Dienste sollten hinter einem VPN, Mesh-VPN, authentifizierten Zugangsgateway oder einem eng konfigurierten Tunnel platziert werden. Die Reduzierung der direkt erreichbaren Anwendungen macht den Server leichter verständlich und wartbar.

Wiederholen Sie die Prüfung nach Netzwerk- oder Anwendungsänderungen

Exponierung ist keine einmalige Einstellung. Ein Routerwechsel, Docker-Compose-Update, neuer Spieleserver, Fernzugriffs-App, Firewall-Reset, ISP-IPv6-Änderung oder wieder aktivierte UPnP-Funktion können verändern, was das Internet sieht.

Wiederholen Sie den externen Test immer dann, wenn Sie einen Dienst hinzufügen, Routerregeln ändern, Netzwerkausrüstung austauschen, IPv6 aktivieren oder einen Container-Stack neu aufbauen. Führen Sie eine kurze Aufzeichnung der genehmigten öffentlichen Ports, damit neue Ergebnisse mit einer bekannten Basislinie verglichen werden können.

Für eine typische Heimumgebung reicht eine monatliche oder vierteljährliche Überprüfung aus, es sei denn, der Server ändert sich häufig. Die wichtige Gewohnheit ist, nach Konfigurationsänderungen zu prüfen, anstatt davon auszugehen, dass die vorherige Prüfung noch gilt.

Fazit

Die zuverlässigste Methode, um zu prüfen, ob Ihr Home-Server exponiert ist, besteht darin, ihn von außerhalb des Heimnetzwerks zu untersuchen. Testen Sie Ihre öffentlichen IPv4- und IPv6-Verbindungen, überprüfen Sie spezifische Ports und ordnen Sie jedes Ergebnis einer Routerregel, Firewall-Ausnahme, einem lauschenden Prozess oder einer Container-Zuordnung zu.

Ein offener Port bedeutet, dass ein Dienst erreichbar ist, aber nicht automatisch kompromittiert wurde. Das Risiko entsteht durch einen unerklärten oder schlecht gesicherten Dienst. Halten Sie nur beabsichtigte öffentliche Dienste offen, entfernen Sie vergessene Weiterleitungen und UPnP-Zuordnungen und verwenden Sie privaten Fernzugriff für Verwaltung, Dateidienste und persönliche Anwendungen.

FAQ

Bedeutet ein offener Port, dass mein Home-Server gehackt wurde?

Nein. Ein offener Port bedeutet, dass eine externe Verbindung einen lauschenden Dienst erreichen kann. Sie müssen diesen Dienst dennoch identifizieren, seine Authentifizierung und Aktualisierung überprüfen und Protokolle auf Hinweise auf unbefugte Aktivitäten prüfen.

Kann mein Server über IPv6 ohne Portweiterleitung exponiert werden?

Ja. IPv6-Geräte können öffentlich routbare Adressen erhalten, daher hängt die Erreichbarkeit hauptsächlich von den Firewalls des Routers und Servers ab und nicht von IPv4-ähnlichem NAT-Forwarding. Testen Sie IPv6 separat.

Sollte ich UPnP auf meinem Router deaktivieren?

Deaktivieren Sie es, wenn Anwendungen keine Portzuordnungen automatisch erstellen müssen. Wenn Sie es für Spiele- oder Medienanwendungen aktiviert lassen, überprüfen Sie regelmäßig die aktiven Zuordnungen und entfernen Sie alles Unbekannte.

Reicht eine Shodan-Suche aus, um zu beweisen, dass mein Server sicher ist?

Nein. Shodan-Daten können verzögert oder veraltet sein, und das Fehlen von Ergebnissen beweist nicht, dass kein Dienst erreichbar ist. Verwenden Sie eine aktuelle externe Portprüfung und überprüfen Sie die Router- und Serverkonfiguration direkt.

Welche Home-Server-Dienste sollten nicht direkt öffentlich zugänglich sein?

NAS- und Router-Administrationsseiten, Datenbanken, Docker-APIs, Hypervisor-Konsolen, SMB-Freigaben und persönliche Dashboards sollten grundsätzlich privat bleiben. Greifen Sie über ein VPN, Mesh-VPN oder einen anderen authentifizierten privaten Pfad darauf zu.

Support & Tipps

Mehr zum Lesen

CasaOS App-Installation fehlgeschlagen: Protokolle, DNS & Ports
Jul 14, 2026Troubleshooting

CasaOS App-Installation fehlgeschlagen: Protokolle, DNS & Ports

Diese Anleitung erklärt, wie man Installationsfehler von CasaOS-Apps behebt, indem man CasaOS-Protokolle, Docker-Protokolle, DNS-Auflösung, Systemzeit, CPU-Architektur, Bildkompatibilität, Portkonflikte und Docker-API-Probleme überprüft, bevor Apps neu...

Get More Builds Like This

Stay in the Loop

Get updates from Zima - new products, exclusive deals, and real builds from the community.

Stay in the Loop preferences

We respect your inbox. Unsubscribe anytime.