Estou escaneando um servidor que deve ter um firewall bastante simples usando o iptables : por padrão, tudo está inclinado além de pacotes RELATED
e ESTABLISHED
pacotes. O único tipo de NEW
pacotes permitido são os pacotes TCP nas portas 22 e 80 e é isso (não há HTTPS nesse servidor).
O resultado do nmap nas primeiras portas 2048 fornece 22 e 80 como abertos, como eu esperava. No entanto, algumas portas aparecem como "filtradas".
Minha pergunta é: por que as portas 21, 25 e 1863 aparecem como "filtradas" e as 2043 outras portas não aparecem como filtradas?
Eu esperava ver apenas 22 e 80 como "abertos".
Se é normal ver 21,25 e 1863 como "filtrado", por que todas as outras portas também não aparecem como "filtradas"?
Aqui está a saída do nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Realmente não entendo por que tenho 2043 portas fechadas:
Not shown: 2043 closed ports
e não 2046 portas fechadas.
Aqui está um lsof lançado no servidor:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(observe que Java / Tomcat está escutando na porta 8009, mas essa porta está DROPped pelo firewall)
nmap
está fazendo, deve fazer a varredura usando privs raiz, usando a varredura SYN (-sS
) e--packet-trace
. Também levar alguns minutos e ler a página de manual, você ficaria surpreso que as gemas estão láRespostas:
A instrução 'Porta filtrada' do nmap difere de acordo com o método de verificação.
A varredura padrão (varredura TCP se usuário não privilegiado ou varredura semi-aberta -sS se superusuário) depende do protocolo TCP. (nomeado hanshake de 3 vias)
Um cliente (você) emite um SYN, se o servidor responder SYN / ACK: significa que a porta está aberta !
Você emite um SYN, se o servidor responder ao RST: significa que a porta está fechada !
Para descobrir qual é o status real da porta, você pode:
O excelente livro " Nmap Network Discovery ", escrito por seu criador Fyodor, explica isso muito bem. Eu cito
fonte
Porque no seu ISP, roteador, administrador da rede, qualquer coisa entre eles ou você mesmo os está filtrando. Essas portas têm um histórico bastante ruim; 1863 é a porta usada pelo protocolo de mensagens instantâneas da Microsoft (também conhecido como MSN e amigos) que acredito que você possa (ou não) ter definido uma regra específica. O SMTP parece que o seu ISP é o culpado e o FTP me deixou totalmente perplexo, pois não tenho idéia do que poderia acontecer com eles.
fonte
Por padrão, o Nmap verifica apenas as 1.000 portas mais comuns para cada protocolo (tcp, udp). Se a sua porta estiver fora dela, ela não fará a varredura e, portanto, não a reportará. No entanto, você pode especificar as portas que deseja verificar com a opção -p.
fonte