Was bedeutet "open" hier konkret?

**Open** heisst, der **TCP-Three-Way-Handshake hat geklappt**: wir haben SYN geschickt, der Server hat mit SYN-ACK geantwortet, wir haben mit ACK quittiert. Das ist der Beweis, dass **etwas lauscht** und die Firewall das Paket durchlaesst. Es heisst **nicht**, dass der Service das Protokoll spricht, das du erwartest. Port 443 koennte offen sein und plain HTTP ausliefern oder noch ohne TLS laufen. Es heisst nur, die Tuer ist nicht abgeschlossen.

Open vs closed vs filtered, was ist der praktische Unterschied?

**Open**: Server hat den Handshake angenommen, ein Service lauscht. **Closed**: Server hat mit TCP RST (ECONNREFUSED) geantwortet, der Host ist also up, aber **kein Prozess** ist auf diesen Port gebunden. **Filtered**: wir haben innerhalb von 4 Sekunden **keine Antwort** bekommen, fast immer eine Firewall, die DROP statt REJECT macht. Closed sagt dir "Host ist okay, Service ist down". Filtered sagt dir "eine Firewall ist im Weg" (oder der Host ist komplett offline).

Warum nur ein Port? Warum nicht ein voller Scan?

Ein voller Portscan sind **30.000+ Probes** gegen einen Host. Von einer geteilten Cloud-IP bringt das die IP in Stunden auf Blacklists und ist in vielen Jurisdiktionen ohne schriftliche Erlaubnis illegal. Dieses Tool ist fuer **operatives Debugging** ("ist mein eine Service oben?"), nicht fuer Aufklaerung. Wenn du legitim einen vollen Scan brauchst, **nmap** auf deiner eigenen Maschine gegen dein eigenes Netz laufen lassen.

Warum machen manche Firewalls DROP statt REJECT?

**DROP** (still verwerfen) laesst den Host offline aussehen. **REJECT** (RST oder ICMP Unreachable senden) sagt dem Angreifer "ich bin da, aber nichts lauscht". Security-Teams bevorzugen DROP fuer **oeffentliche Services**, weil es Portscanner ausbremst. Jeder closed Port kostet einen vollen Timeout statt einer Millisekunde. Der Tradeoff: legitime Connectivity-Tests sehen aus wie ein Netzwerkausfall.

TCP vs UDP, warum prueft das Tool nur TCP?

**TCP** ist verbindungsorientiert: es gibt einen Handshake, ein klares "akzeptiert" oder "abgelehnt"-Signal. **UDP** ist Fire-and-Forget: du schickst ein Paket, niemand muss antworten. Einen UDP-Port wie 53 (DNS) oder 123 (NTP) zu pruefen erfordert, **das eigentliche Protokoll zu sprechen**, weil "Stille" sowohl "open" als auch "filtered" heissen kann. Fuer HTTP-over-QUIC (UDP 443) einen echten HTTP/3-Client nutzen. Dieses Tool bleibt absichtlich TCP-only.

Cheatsheet, was laeuft standardmaessig auf welchem Port?

Die Klassiker: **22** SSH, **25** SMTP Server-zu-Server, **53** DNS, **80** HTTP, **110** POP3, **143** IMAP, **443** HTTPS, **465** SMTPS, **587** SMTP Submission, **993** IMAPS, **995** POP3S. Datenbanken: **3306** MySQL/MariaDB, **5432** PostgreSQL, **6379** Redis, **27017** MongoDB, **9200** Elasticsearch. Admin: **3389** RDP, **5900** VNC, **8080**/**8443** Dev-HTTP-Server. Volle Liste bei IANA, aber diese decken 95 % realer Checks ab.

Wie fahre ich einen echten Scan aus meinem eigenen Netz?

**nmap** installieren (`brew install nmap`, `apt install nmap`, `choco install nmap`). Voller TCP-Scan eines Hosts: `nmap -p- -sV dein-server.de`. Die 1000 haeufigsten Ports: `nmap -sV dein-server.de`. UDP: `nmap -sU -p 53,123 dein-server.de` (langsam, braucht root). **Immer schriftliche Erlaubnis** vor dem Scannen, was du nicht besitzt. Viele Provider (AWS, GCP, Hetzner) verlangen Vorabankuendigung sogar fuer eigene Ressourcen.

Mein Portcheck schlaegt fehl, der Service funktioniert aber definitiv aus dem internen Netz. Warum?

Fast immer **eine von vier Sachen**: (1) Der Service ist an `127.0.0.1` statt `0.0.0.0` gebunden, Bind-Adresse fixen. (2) Eine Cloud-Firewall (AWS Security Group, GCP Firewall Rule, Hetzner Cloud Firewall) blockt Public Ingress. (3) Die Host-Firewall (`ufw`, `firewalld`, Windows-Firewall) lehnt den Port ab. (4) NAT oder Portforwarding am Router leitet den oeffentlichen Port nicht auf den internen Host weiter. Der Einzelport-Check sagt dir "die Aussenwelt kann das nicht erreichen", der naechste Schritt ist, jede Schicht durchzugehen.

Darf ich mit diesem Tool die Server anderer Leute scannen?

**Nein.** Selbst eine TCP-Verbindung zu einem fremden Port kann gegen den **Computer Fraud and Abuse Act** (USA), den **Computer Misuse Act** (UK) und vergleichbare Gesetze in der EU verstossen (in Deutschland § 202c StGB). Viele ISP-AGB verbieten Portscanning explizit. Das aggressive **30-Checks-pro-Stunde-pro-IP**-Limit ist genau deshalb da, dieses Tool fuer legitime Ops nuetzlich zu halten und fuer alles andere nutzlos. Pruefe nur **deine eigene** Infrastruktur oder Hosts, fuer die du **schriftliche Erlaubnis** hast.

Port-Erreichbarkeits-Check - kostenlos

Port-Erreichbarkeitsprüfung

Öffne eine TCP-Verbindung zu einem öffentlichen Host und sieh, was antwortet. Offen, geschlossen oder still von einer Firewall verworfen? Erfasst auch das Server-Banner, falls eines gesendet wird.

Deine Anfrage geht an unseren Server, der eine TCP-Verbindung zum angegebenen Host öffnet. Wir speichern keine Prüfhistorie. Limit von 30 Prüfungen pro Stunde pro IP.

Was macht der Port-Erreichbarkeits-Check?

Tippe einen Host (Domain oder oeffentliche IP) und einen TCP-Port ein, klick Check, und unser Server oeffnet eine TCP-Verbindung zu dieser Adresse von einer oeffentlichen IP aus. Du bekommst eine von drei Antworten: open (etwas lauscht), closed (der Server hat aktiv mit RST abgelehnt) oder filtered (das Paket ist verschwunden, fast immer eine Firewall).

Das ist kein Portscanner. Es prueft einen Port nach dem anderen und ist bewusst auf 30 Checks pro Stunde pro IP rate-limitiert. Es ist das richtige Tool, wenn du gerade einen Service neu gestartet hast und bestaetigen willst, dass die Firewall wieder offen ist, wenn SMTP keine Mail annimmt und du die Netzwerkschicht ausschliessen willst oder wenn ein Kunde sagt "eure API ist nicht erreichbar" und du eine Zweitmeinung aus einem anderen Netz willst.

Wenn der Server den Client beim Connect begruesst (SSH, SMTP, FTP, POP3, IMAP, Redis tun das oft), wird die erste Zeile des Banners erfasst und angezeigt. Banner sind nuetzlich: sie verraten Software, Version und manchmal das OS.

So benutzt du es

Einen Host eintippen: eine Domain wie `mail.example.de` oder eine oeffentliche IP wie `93.184.216.34`. Kein Schema, kein Pfad. Private Adressen (`192.168.x`, `10.x`, `127.x`) sind absichtlich blockiert.

Einen Port aus den Preset-Chips waehlen (22 SSH, 443 HTTPS, 25 SMTP etc.) oder eine beliebige Zahl von 1 bis 65535 tippen.

Check klicken. Die Probe dauert bis zu 5 Sekunden: 4 s fuer den TCP-Handshake, 1 s Warten auf einen optionalen Banner.

Die Status-Pille lesen: gruen = open, rot = closed, gelb = filtered, grau = Fehler. Jeder Status hat einen Einzeiler-Erklaerung.

Wenn der Server einen Banner schickt, lies ihn. SSH zeigt die Version, SMTP den MTA-Namen, FTP den Daemon. Das ist normal und meist unbedenklich, offen zu zeigen.

Wann das nuetzlich ist

Fuenf Alltagssituationen, in denen ein Einzelport-Check besser ist als sich auf die Box einzuloggen:

Ist die Firewall wirklich offen? Du hast eine Regel in AWS Security Groups, Cloudflare oder ufw ergaenzt und willst die schnelle Bestaetigung von aussen.
Lauscht SMTP wirklich? Dein Mailserver behauptet, Port 25 ist up, aber Mail fliesst nicht. Von aussen pruefen, weil viele ISPs und Clouds Outbound 25 standardmaessig blocken.
Service still abgestuerzt. Dein Monitoring hat's verpasst. Ein 2-Sekunden-Check sagt dir, ob Postgres, Redis oder MySQL ueberhaupt erreichbar ist.
Kunde sagt "eure API ist down". Sein Netzwerk koennte das Problem sein. Den gleichen Check aus einem neutralen Standort fahren und vergleichen.
Post-Migration-Smoketest. Du hast einen Service auf einen neuen Host umgezogen. Bestaetige, dass SSH (22), HTTPS (443) und beliebige Custom-Ports hochgekommen sind, bevor du DNS umlegst.

Verwandt: SSL-Zertifikats-Pruefer, DNS-Lookup, HTTP-Headers-Inspektor.

Fragen und Antworten

Ein Port ist eine nummerierte Tuer am Server. Die IP-Adresse fuehrt dich zum Gebaeude, die Portnummer zu einer bestimmten Wohnung. 80 ist die Tuer fuer HTTP, 443 ist HTTPS, 22 ist SSH, 25 ist E-Mail zwischen Servern, 3306 ist MySQL. Jeder lauschende Service bindet auf einen Port. Beim Verbinden sagt dein Laptop dem Server, an welche Tuer du klopfen willst.

Was macht der Port-Erreichbarkeits-Check?

So benutzt du es

Einen Port aus den Preset-Chips waehlen (22 SSH, 443 HTTPS, 25 SMTP etc.) oder eine beliebige Zahl von 1 bis 65535 tippen.

Check klicken. Die Probe dauert bis zu 5 Sekunden: 4 s fuer den TCP-Handshake, 1 s Warten auf einen optionalen Banner.

Die Status-Pille lesen: gruen = open, rot = closed, gelb = filtered, grau = Fehler. Jeder Status hat einen Einzeiler-Erklaerung.

Wenn der Server einen Banner schickt, lies ihn. SSH zeigt die Version, SMTP den MTA-Namen, FTP den Daemon. Das ist normal und meist unbedenklich, offen zu zeigen.

Wann das nuetzlich ist

Fuenf Alltagssituationen, in denen ein Einzelport-Check besser ist als sich auf die Box einzuloggen:

Ist die Firewall wirklich offen? Du hast eine Regel in AWS Security Groups, Cloudflare oder ufw ergaenzt und willst die schnelle Bestaetigung von aussen.
Lauscht SMTP wirklich? Dein Mailserver behauptet, Port 25 ist up, aber Mail fliesst nicht. Von aussen pruefen, weil viele ISPs und Clouds Outbound 25 standardmaessig blocken.
Service still abgestuerzt. Dein Monitoring hat's verpasst. Ein 2-Sekunden-Check sagt dir, ob Postgres, Redis oder MySQL ueberhaupt erreichbar ist.
Kunde sagt "eure API ist down". Sein Netzwerk koennte das Problem sein. Den gleichen Check aus einem neutralen Standort fahren und vergleichen.
Post-Migration-Smoketest. Du hast einen Service auf einen neuen Host umgezogen. Bestaetige, dass SSH (22), HTTPS (443) und beliebige Custom-Ports hochgekommen sind, bevor du DNS umlegst.

Verwandt: SSL-Zertifikats-Pruefer, DNS-Lookup, HTTP-Headers-Inspektor.

Fragen und Antworten

Port-Erreichbarkeits-Check

Was macht der Port-Erreichbarkeits-Check?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

DNS-Lookup

SSL-Zertifikat-Inspector

HTTP-Header Inspector

IPv6-Bereitschaftsprüfung

Cloud / CDN Detektor

Port-Erreichbarkeits-Check

Was macht der Port-Erreichbarkeits-Check?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

DNS-Lookup

SSL-Zertifikat-Inspector

HTTP-Header Inspector

IPv6-Bereitschaftsprüfung

Cloud / CDN Detektor