Ich scanne einen Server, der eine ziemlich einfache Firewall haben sollte, mit iptables : Standardmäßig ist alles außer DROPped RELATED
und ESTABLISHED
Paketen. Die einzigen NEW
zulässigen Pakettypen sind TCP-Pakete an Port 22 und 80 und das wars (kein HTTPS auf diesem Server).
Das Ergebnis von nmap auf den ersten 2048 Ports ergibt 22 und 80 so offen, wie ich es erwarte. Einige Ports werden jedoch als "gefiltert" angezeigt.
Meine Frage ist: warum erscheinen Port 21, 25 und 1863 als "gefiltert" und die 2043 anderen Ports nicht als gefiltert?
Ich habe erwartet, nur 22 und 80 als "offen" zu sehen.
Wenn es normal ist, 21,25 und 1863 als "gefiltert" anzuzeigen, warum werden dann nicht auch alle anderen Ports als "gefiltert" angezeigt?
Hier ist die Ausgabe von nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Ich verstehe wirklich nicht, warum ich 2043 geschlossene Ports habe:
Not shown: 2043 closed ports
und nicht 2046 geschlossene Häfen.
Hier ist ein lsof auf dem Server gestartet:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(Beachten Sie, dass Java / Tomcat auf Port 8009 lauscht, dieser Port jedoch von der Firewall DROPpt wird.)
nmap
passiert, sollten Sie mit root-Rechten scannen, indem Sie SYN scan ( -sS
) und verwenden --packet-trace
. Nehmen Sie sich auch ein paar Minuten Zeit und lesen Sie die Manpage. Sie werden überrascht sein, welche Edelsteine sich dort befinden