Je l' analyse d' un serveur qui devrait avoir un pare - feu assez simple en utilisant iptables : par défaut tout est en plus laissiez tomber RELATED
et ESTABLISHED
paquets. Les seuls types de NEW
paquets autorisés sont les paquets TCP sur les ports 22 et 80 et le tour est joué (pas de protocole HTTPS sur ce serveur).
Le résultat de nmap sur les 2048 premiers ports donne 22 et 80 aussi ouverts, comme je l’attendais. Cependant, quelques ports apparaissent comme "filtrés".
Ma question est la suivante: pourquoi les ports 21, 25 et 1863 apparaissent-ils comme "filtrés" et les 2043 autres ports n'apparaissent pas comme filtrés?
Je m'attendais à voir seulement 22 et 80 comme "ouvert".
S'il est normal de voir "filtré" 21,25 et 1863, pourquoi tous les autres ports n'apparaissent-ils pas aussi "filtrés"?
Voici la sortie de nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Je ne comprends vraiment pas pourquoi j'ai 2043 ports fermés:
Not shown: 2043 closed ports
et pas 2046 ports fermés.
Voici un lsof lancé sur le serveur:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(notez que Java / Tomcat écoute sur le port 8009, mais ce port est ignoré par le pare-feu)
nmap
que vous faites, vous devriez scanner en utilisant les droits root, en utilisant les fonctions SYN scan ( -sS
) et --packet-trace
. Prenez également quelques minutes et lisez la page de manuel, vous seriez surpris de voir quelles pierres précieuses se trouvent là