Sto scansione di un server che dovrebbe avere un piuttosto semplice firewall utilizzando iptables : di default tutto è caduto oltre RELATED
e ESTABLISHED
pacchetti. L'unico tipo di NEW
pacchetti consentiti sono i pacchetti TCP sulla porta 22 e 80 e il gioco è fatto (nessun HTTPS su quel server).
Il risultato di nmap sulle prime porte 2048 dà 22 e 80 come aperti, come mi aspetto. Tuttavia, alcune porte vengono visualizzate come "filtrate".
La mia domanda è: perché le porte 21, 25 e 1863 vengono visualizzate come "filtrate" e le altre 2043 porte non vengono visualizzate come filtrate?
Mi aspettavo di vedere solo 22 e 80 come "aperti".
Se è normale vedere 21,25 e 1863 come "filtrati", allora perché anche tutte le altre porte non vengono visualizzate come "filtrate" !?
Ecco l' output di nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Davvero non capisco perché ho 2043 porte chiuse:
Not shown: 2043 closed ports
e non 2046 porte chiuse.
Ecco un lsof lanciato sul server:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(notare che Java / Tomcat è in ascolto sulla porta 8009 ma che la porta è DROPped dal firewall)
nmap
sta facendo, dovresti scansionare usando i privilegi di root, usando SYN scan ( -sS
) e --packet-trace
. Inoltre, prenditi un paio di minuti e leggi la pagina man, rimarrai sorpreso di quali gemme ci sono