Liste der TCP/UDP Ports die ein Android System braucht?

Hallo,

ich bin bis jetzt nicht wirklich fündig geworden. Gibt es eine Liste von TCP/UDP Ports die nach draußen auf einer Firewall (Hardware) für Android System offen sein müssen/ sollen?
Mich interessiert erst das System und die Standard-Google-Apps. Keine sonstige Applikationen die ggf. irgendwelche Syncs usw. machen.

Ports sind nur offen, wenn du entsprechende Dienste auf dem Gerät anbietest.
Zum Beispiel SSH-server. Wäre Port 22 u. TCP. Oder du hast einen FTP-Server. Wäre Port 21
Laufen keine Dienst, sind auch keine Ports offen.
[doublepost=1485688000,1485687613][/doublepost]Wenn gerootet kannst dir das nmap Tool von XDA drauf kopierrn u. damit scannen / nachschauen.

./nmap --system-dns 127.0.0.1

Du hast die Frage nicht verstanden. Es geht nicht um irgendwelche Dienste die ich auf dem Android bereitstelle sondern darum dass das System mit Außenwelt reden will.
Deswegen schrieb ich auch - also z.b play-store braucht bestimmte Ports durch die es die Verbindung aufbauen kann usw.

Schon verstanden. Wollte dir nur das Prinzip nahe bringen.
Nehmen wir u.B. Google PlayStore.

Jeh nach Einstellung schaut das Teil nach ob's was neues gibt. Baut also eine Verbindung auf. Geht über entsprechenden Port.
Und jetzt kommst: die Verbindung wird von INNEN nach AUSSEN aufgebaut Also von hausauf kein Port offen.
Ferner merkt sich das System od. der Router welcher Prozesd welche Pakete / Anfrage gesendet hat. Und nur da werden die entsprechenden Pakete wieder zurück gesendet.
Dies steht im Paketheader. Mal so grob erklärt.
[doublepost=1485690905,1485690797][/doublepost]Wenn du die Port ermitteln willst, am Router mit sniffen. Fritzbox hat da eine nette Option z.B.

Natürlich Port offen und zwar am Ziel. Wenn ich zwischen Quelle und Ziel eine Firewall habe dann muss ich wissen welche Ports ich nach draußen erlauben muss damit so ein Gerät weiter funktioniert.
Wenn ich z.b wissen will welche Ports ich auf der FW öffnen will damit mein Klient mit der AD (Activie Directory) reden kann dann schaue ich bei Microsoft nach und schon habe ich meine portliste. Genau das suche ich für Android

Du willst also explizit erst mal alle Ports von Innen nach Aussen blocken, denke ich, sonst wäre deine Frage ja sinnlos. Eine Liste kenne ich auch nicht. Man müsste da jedes Programm sniffen um zu sehen was aufgemacht wird.

PS. AD machte immer viel Spass. Vor allem wenn was in der Hose war ;-)

Jupp so war die Idee.
Sieht aber so aus, dass so etwas wenig Sinn macht. So eine Liste scheint nicht zu geben. Mit Steffen bzw schauen in die FW logs macht wenig Sinn da ich damit nicht weiß wer diese Kommunikation startet - OS, Google App oder irgendeine "böse" Software.

Denke, das das meiste sowieso über die reservierten Standartports 1-1024 geht. Wäre jetzt aber wirklich interessant zu wissen.
Wenn Zeit schaue ich auch mal. Da muss es doch was geben im Netz.

Dachte mir auch aber wirklich was brauchbares habe ich bis jetzt nicht gefunden.

Hier mal die Liste der standartisierten Ports:
Liste der standardisierten Ports – Wikipedia

Je nachdem, welchen Dienst eine App nutzt, nutzt sie auch die Ports. Das Ganze ist auch unabhängig von Android.

Ergo: Es macht keinen Sinn, alle Ports nach außen zu blockieren, da sonst nix mehr funktioniert. Und auch wenn, ist es z.B. für eine App einfach möglich, verschlüsselt via Port 443 einen Tunnel zum Zielserver zu verwenden und dann nutzt Deine ganze Blokiererei nix.
Es ist also völlig egal, über welchen Port eine App nach Hause telefoniert. Es macht höchstens Sinn, Zieladressen bzw. Domains zu blockieren, wie das z.B. auch die Werberblocker machen.

Also im Endeffekt bringt es wahrscheinlich nicht viel, weil man praktisch alle Schweinereien schon über die normalen HTTP Ports machen kann, und die werden dafür auch am liebsten genommen, weil sie selbst in Geschäftsnetzwerken inzwischen fast immer offen sind. Aber im Sinne einer mehrstufigen Verteidigungsstrategie ist es sicher auch nicht falsch. Im Zweifelsfall nur mal Port 443 (HTTPS) aufmachen und je nach Bedarf Port 80 (HTTP). Für Email entweder 110 (POP3) oder 995 (POP3S) oder 143 (IMAP) oder 993 (IMAPS). Ansonsten sollte man noch aufpassen, dass DNS und DHCP vor der Firewall liegen, sonst muss man die UDP Ports 53 (DNS) und 67 (DHCP) aufmachen. Weitere Ports kann man ja freischalten, wenn man weiß, dass man sie benötigt. Das Firewall Log kann dabei auch behilflich sein.

Nun nach langer Überlegung so hin und her werde ich es kurz oder mittelfristig anders machen.
WLAN in separates VLAN verfrachten und von da alles öffnen. Alles andere macht wohl kein wirklichen Sinn.

Zum filtern u. blocken würde sich ein Proxy anbieten. Was Android betrifft, immer auch diesen " netd " im Kopf haben. Das Teil tunnelt.

Generell ist es eine gute Idee, das WLAN in ein separates Netz zu verfrachten, das auf das eigentliche interne Netz keinen Zugriff hat. Falls man auf bestimmte Dienste im internen Netz trotzdem zugreifen will (z.B. Medienserver), packt man die entweder in eine DMZ oder man geht mit VPN vom Handy in das interne Netz.