linzus
Anmeldungsdatum: 31. Dezember 2015
Beiträge: Zähle...
|
Hallo, ich habe iptables sehr einfach konfiguriert: (1.2.3.4 sei meine Server IP) | iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 272 --dst 1.2.3.4 -j ACCEPT
|
Sprich, ich möchte zuerst nichts anderes als SSH erlauben. Wenn ich aber von meinem Rechner aus ein nmap ausführe, sind zahlreiche Ports (die eigentlich erst noch freigeschaltet werden sollen) bereits offen: | Not shown: 992 filtered ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
3128/tcp open squid-http
8080/tcp open http-proxy
|
Was mich noch mehr verwirrt ist die Tatsache, dass die entsprechenden Dienste dahinter eigentlich überhaupt nicht laufen und ein mir die folgende Ausgabe bringt: | Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:272 0.0.0.0:* LISTEN 0 19817 1223/sshd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 111 19106 1090/named
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 18971 1186/systemd-resolv
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 112 21944 1287/mysqld
|
Die Ports scheinen aber definitiv auf und verfügbar zu sein, da ein telnet von meinem Heimpc zum Server hin problemlos funktioniert und ich eine TCP-Session bekomme... Hat jemand eine Idee was hier los ist? VG
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: Hat jemand eine Idee was hier los ist?
Auf welchem Port lauscht telnetd auf deinem server?
Lt. nmap ist der Port 23 auf deinem Server nicht geöffnet. Oder Du hast hier nicht alle erforderlichen Informationen gepostet?
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
Moment, ich frage einfach per | telnet 1.2.3.4 110
telnet 1.2.3.4 80
telnet 1.2.3.4 993
|
die Ports an, und bekomme eine session. Telnet ist ja nicht beschränkt auf 23... VG
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: Moment, ich frage einfach per | telnet 1.2.3.4 110
telnet 1.2.3.4 80
telnet 1.2.3.4 993
|
OK. Wie ist die Ausgabe von:
nc -zv 1.2.3.4 80 110 993
?
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
–> Dauert ewig, und timed dann aus: | nc: connect to 1.2.3.4 port 80 (tcp) failed: Connection timed out
|
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
Nachtrag: Timeout am Server, | Connection to 1.2.3.4 port 80 [tcp/http] succeeded!
|
auf meinem Client zu Hause.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: –> Dauert ewig, und timed dann aus: | nc: connect to 1.2.3.4 port 80 (tcp) failed: Connection timed out
|
Ja, weil nicht gelauscht wird. Wenn telnet was anderes anzeigt, heißt das, dass telnet für diesen Test nicht geeignet ist. Du kannst auch einen timeout setzen, mit nc. Z. B.:
nc -zv -w 3 1.2.3.4 80
? :~ $ nc -zv -w 3 192.168.178.1 53
Connection to 192.168.178.1 53 port [tcp/domain] succeeded!
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: | Connection to 1.2.3.4 port 80 [tcp/http] succeeded!
|
auf meinem Client zu Hause.
Dann schreibe mal genau, von wo nach wo Du den Portscan machst. Und die internen IP-Adressen (im (W)LAN) musst Du nicht anonymisieren.
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
Es handelt sich um einen bei Hetzner gehosteten Cloud-Server mit öffentlicher IP und einem Ubuntu 18.04. Meine IP ist die meines Providers vom DSL-Anschluss. Ich habe dir die Ziel-IP aber mal per PN gesendet...
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: Ich habe dir die Ziel-IP aber mal per PN gesendet...
Ich habe gescannt und es ist lediglich der Port 272 offen. Die anderen Ports sind nicht erreichbar.
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
😀 Ich zweifle an meinem Verstand. ich komme von der Heimpo-Konsole aus auf alle ports drauf ☺
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
linzus schrieb: ich komme von der Heimpo-Konsole aus auf alle ports drauf
Nmap scan report for mail.#####.## (78.xx.xx.xxx)
Host is up (0.027s latency).
PORT STATE SERVICE
25/tcp closed smtp
80/tcp closed http
110/tcp closed pop3
143/tcp closed imap
272/tcp open unknown
993/tcp closed imaps
995/tcp closed pop3s
3128/tcp closed squid-http
8080/tcp closed http-proxy
Nmap done: 1 IP address (1 host up) scanned in 1.14 seconds
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
linzus schrieb: […] ich habe iptables sehr einfach konfiguriert
Zeige uns bitte den vollständigen Regelsatz, statt darüber zu spekulieren! sudo iptables -n -L
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
Hallo, hier der Regelsatz: | root@server:/home/user# iptables -n -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 1.2.3.4 tcp dpt:272
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
|
linzus
(Themenstarter)
Anmeldungsdatum: 31. Dezember 2015
Beiträge: 147
|
Ich habe es über 2 verschiedene völlig unabhängige Outbreaks und verschiedene Provider probiert: Ich komme beide Male z.B. auf den Port 110, obwohl dieser gedroppt werden sollte. Selbst wenn ich die default-Regel auf Accept setzte, bekomme ich eine kurze Session, obwohl der Port überhaupt nicht lauscht ?! Der Service dahinter ist deaktiviert, und netstat zeigt nichts!
|