✔ Offene Ports

[david_m]

Hi,

ich hab folgendes Problem: Hab bei meinem Server über die IP Tables die Ports 20, 21, 22, 25, 80 und 110 freigegeben, und das ganze genauso bei den iptables. Der Rest wird abgelehnt.
Wenn ich jetzt aber mit nmap von meinem Server aus die Ports scannen lasse bringt er mir folgendes Ergebnis:

linux:/home/user # nmap 192.168.0.1

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-04-22 16:33 CEST
Interesting ports on localhost (192.168.0.1):
(The 1653 ports scanned but not shown below are in state: closed)
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
111/tcp   open  rpcbind
199/tcp   open  smux
10000/tcp open  snet-sensor-mgmt

Nmap run completed -- 1 IP address (1 host up) scanned in 0.208 seconds
linux:/home/user #

Der Port 110 ist erstens mal nicht geöffnet, und was zum Teufel hat da rpcbind, smux und snet-sensor-mgmt zu suchen? (btw, was ist sind das eigentlich für Dienste?)

Bei der Firewall von SuSE sind nur die oben aufgeführten Ports offen. Sonst nichts. An was könnte das liegen? Und kennt jemand ne bessere Firewall als die interne von SuSE? (hab die Version 9.2) oder ist die ok?

Dank euch schon mal im Voraus!

David

 

[MrCoffee]

Moin!

1. Bin nicht sehr fit in Linux, weiss nur was ich irgendwo schonmal gelesen hatte:

2. Um herauszufinden, welches Programm welchen Port geöffnet hat sollte dir folgender Befehl Hilfe leisten:

netstat -pn -l -A inet

3. Ein paar vielleicht hilfreiche Links, was diese Ports bewirken:

rpcbind

SMUX <-- da sollteste danach suchen (STRG+F)

Der Port 10000 könnte durch webmin(?) herrühren

4. Port 110
Kann es sein, das dein Mailserver nicht läuft? Oder so konfiguriert ist, das er von deinem Rechner aus keine Verbindung zulässt?

Auf der Maschine mal ps aux machen, ob der Dienst gestartet ist

Hoffe ein wenig helfen zu können

Achja, zur Firewall:
fwbuilder soll recht gut sein

Marco

 

[Dennis Wronka]

Hast Du auf dem Rechner gescannt auf dem Du Ports gesperrt hast?
Wie sieht Dein Script aus?

Wenn Du explizit angegeben hast auf welchem Device die gesperrt werden sollen, z.B. eth0 dann siehst Du bei einem lokalen Scan trotzdem alle Port, denn dieser laeuft dann ueber's Loopback-Device.

Zeig mal bitte Dein Firewall-Script.

 

[tuxx]

Auf Port 199 horcht der snmpd. Wirf den doch einfach aus dem Runlevel oder

rcsnmpd stop

 

[Dennis Wronka]

SNMP ist meines Wissens nach UDP/161

 

[tuxx]

Port 111 ist bei mir offen, wenn der portmap-daemon läuft.

/EDIT

Nee, unter SuSE hast du mit dem snmpd port 199 tcp offen.

rcsmnpd start
PORT STATE SERVICE
199/tcp open smux
631/tcp open ipp
783/tcp open hp-alarm-mgr
6000/tcp open X11
8080/tcp open http-proxy
8081/tcp open blackice-icecap
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X

rcsnmpd stop
PORT STATE SERVICE
631/tcp open ipp
783/tcp open hp-alarm-mgr
6000/tcp open X11
8080/tcp open http-proxy
8081/tcp open blackice-icecap
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X

 

[Dennis Wronka]

Hmm, komisch.
Denn soweit ich weiss ich UDP/161 der Standard-Port fuer SNMP. Auch der SNMP-Service fuer Windows ist dort zu erreichen wenn ich mich nicht irre.

Vielleicht mal 'nen UDP-Scan laufen lassen und gucken ob auch UDP/161 offen ist. Vielleicht ist der tcp/199 irgendwas zusaetzliches.

Oder nmap mal beauftragen die Versionen der Dienste zu checken.

UDP-Scan: nmap -sU host
Version-Scan: nmap -sV host

 

[tuxx]

Hier das Ergebnis:

6:14:29 [root@alpha][~]$ nmap -sU 127.0.0.1
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-23 06:15 CEST
Interesting ports on localhost (127.0.0.1):
(The 1474 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
68/udp open|filtered dhcpclient
123/udp open|filtered ntp
161/udp open|filtered snmp
631/udp open|filtered unknown

06:15:05 [root@alpha][~]$ nmap -sV 127.0.0.1
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-23 06:16 CEST
Interesting ports on localhost (127.0.0.1):
(The 1657 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
199/tcp open smux Linux SNMP multiplexer
631/tcp open ipp CUPS 1.1
783/tcp open hp-alarm-mgr?
6000/tcp open X11 (access denied)
8080/tcp open http-proxy WWWOFFLE caching webproxy 2.8c
8081/tcp open blackice-icecap?

 

[Dennis Wronka]

Ah, also hast Du auch UDP/161 und TCP/199 ist der SNMP Muxer, also was zusaetzliches zum SNMP.
Schon ein echt praktisches Tool der nmap.

 

[tuxx]

Bleibt noch Port 10000.
Aber der kann ja alles mögliche sein.