forum.opennet.ru - "Почему фильтруется трафик при отключенном файрволе?" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Почему фильтруется трафик при отключенном файрволе?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Почему фильтруется трафик при отключенном файрволе?"
Сообщение от Garrik (??) on 08-Ноя-05, 21:42 (MSK)
Привет, Всем! Недавно, между делом просканировал порты nmap-ом на домашнем десктопе. К моему удивлению udp - порты фильтруюся, хотя правила этого не предусматривают. Начал искать причину таких изменений. Оказалось что дальше еше интересней. Отключаю совсем firewall. Порты все равно фильтруются. Ничего не понимаю. У кого есть гипотезы или может ответ? Да, с tcp портами все нормально. # uname -a Linux barracuda 2.6.13 #1 Sat Oct 22 10:40:48 MSD 2005 i686 GNU/Linux # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # nmap -sU localhost Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-08 21:23 MSK Interesting ports on localhost (127.0.0.1): (The 1474 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 53/udp open\|filtered domain 123/udp open\|filtered ntp 3130/udp open\|filtered squid-ipc 32768/udp open\|filtered omad Nmap finished: 1 IP address (1 host up) scanned in 1.718 seconds Что за порт 32768? lsof - говорит что это named. Странно!!!??? # lsof -i udp:32768 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME named 5346 bind 28u IPv4 7569 UDP *:32768
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Почему фильтруется трафик при отключенном файрволе?, Koba_LTD, 15:45 , 09-Ноя-05, (1)

Почему фильтруется трафик при отключенном файрволе?, Garrik, 16:10 , 09-Ноя-05, (2)

Почему фильтруется трафик при отключенном файрволе?, Koba_LTD, 17:05 , 09-Ноя-05, (3)

Почему фильтруется трафик при отключенном файрволе?, Garrik, 18:18 , 09-Ноя-05, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Почему фильтруется трафик при отключенном файрволе?"

Сообщение от Koba_LTD (??) on 09-Ноя-05, 15:45  (MSK)

>Привет, Всем!
>Недавно, между делом просканировал порты nmap-ом на домашнем десктопе. К моему удивлению
>udp - порты фильтруюся, хотя правила этого не предусматривают. Начал искать
>причину  таких изменений. Оказалось что дальше еше интересней. Отключаю совсем
>firewall. Порты все равно фильтруются. Ничего не понимаю. У кого есть
>гипотезы или может ответ? Да, с tcp портами все нормально.
>
># uname -a
>Linux barracuda 2.6.13 #1 Sat Oct 22 10:40:48 MSD 2005 i686 GNU/Linux
>
>
>
Что ты имеешь ввиду фильтруються.
># iptables -L
>Chain INPUT (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>Chain FORWARD (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>Chain OUTPUT (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>
># nmap -sU localhost
>
>Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-08 21:23 MSK
>Interesting ports on localhost (127.0.0.1):
>(The 1474 ports scanned but not shown below are in state: closed)
>
>PORT      STATE
>   SERVICE
>53/udp    open|filtered domain
>123/udp   open|filtered ntp
>3130/udp  open|filtered squid-ipc
>32768/udp open|filtered omad
>
>Nmap finished: 1 IP address (1 host up) scanned in 1.718 seconds
>
тебе nmap прямо говорит что у тебя открыты порты 53 123 3130 32768.
так что ничего не "филтруеться"
>
>Что за порт 32768? lsof - говорит что это named. Странно!!!???
>
># lsof -i udp:32768
>COMMAND  PID USER   FD   TYPE DEVICE SIZE
>NODE NAME
>named   5346 bind   28u  IPv4
>7569       UDP *:32768
это наврное открытый (приемный) порт squid'a для общения с DNS сервером.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Почему фильтруется трафик при отключенном файрволе?"

Сообщение от Garrik (??) on 09-Ноя-05, 16:10  (MSK)

>тебе nmap прямо говорит что у тебя открыты порты 53 123 3130
>32768.
>так что ничего не "филтруеться"
А что значит filtered? Раньше было просто open...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Почему фильтруется трафик при отключенном файрволе?"

Сообщение от Koba_LTD (??) on 09-Ноя-05, 17:05  (MSK)

>>тебе nmap прямо говорит что у тебя открыты порты 53 123 3130
>>32768.
>>так что ничего не "филтруеться"
>
>А что значит filtered? Раньше было просто open...
ответ nmap незнает получилты доступ к свободному порту или в рамках разрешения фаервола вот тебе и opne|filtered

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Почему фильтруется трафик при отключенном файрволе?"

Сообщение от Garrik (??) on 09-Ноя-05, 18:18  (MSK)

>ответ nmap незнает получилты доступ к свободному порту или в рамках разрешения
>фаервола вот тебе и opne|filtered

Вот проведем эксперемент с tcp-портом, например c 21-м.
Изначально все разрешено
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
# nmap localhost -p 21
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-09 17:48 MSK
Interesting ports on localhost (127.0.0.1):
PORT   STATE SERVICE
21/tcp open  ftp
Nmap finished: 1 IP address (1 host up) scanned in 0.250 seconds
Видим порт открыт
# iptables -A INPUT -p tcp -i lo --dport 21 -j DROP
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp dpt:ftp
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
# nmap localhost -p 21
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-09 17:50 MSK
Interesting ports on localhost (127.0.0.1):
PORT   STATE    SERVICE
21/tcp filtered ftp
Nmap finished: 1 IP address (1 host up) scanned in 0.438 seconds
Видим что порт за файрволом.
Так всегда было и с udp - портами. Но с тех пор я многое поменял в системе. Перешел на ядро 2.6 обновился с woody до sarge-testing потом до sarge-stable. Специально сейчас проверил в woody. При отключенном файрволе (я имею ввиду когда все можно ACCEPT во всехцепочках) nmap показывает open. В sarge-testing уже open|filtered. Что-то я не пойму, если ">nmap незнает получилты доступ к свободному порту или в рамках разрешения", что он (nmap) тупее что ли стал. раньше знал а теперь не знает?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Почему фильтруется трафик при отключенном файрволе?"
Сообщение от Koba_LTD (??) on 09-Ноя-05, 15:45 (MSK)
>Привет, Всем! >Недавно, между делом просканировал порты nmap-ом на домашнем десктопе. К моему удивлению >udp - порты фильтруюся, хотя правила этого не предусматривают. Начал искать >причину таких изменений. Оказалось что дальше еше интересней. Отключаю совсем >firewall. Порты все равно фильтруются. Ничего не понимаю. У кого есть >гипотезы или может ответ? Да, с tcp портами все нормально. > ># uname -a >Linux barracuda 2.6.13 #1 Sat Oct 22 10:40:48 MSD 2005 i686 GNU/Linux > > > Что ты имеешь ввиду фильтруються. ># iptables -L >Chain INPUT (policy ACCEPT) >target prot opt source > destination > > >Chain FORWARD (policy ACCEPT) >target prot opt source > destination > > >Chain OUTPUT (policy ACCEPT) >target prot opt source > destination > > > ># nmap -sU localhost > >Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-08 21:23 MSK >Interesting ports on localhost (127.0.0.1): >(The 1474 ports scanned but not shown below are in state: closed) > >PORT STATE > SERVICE >53/udp open\|filtered domain >123/udp open\|filtered ntp >3130/udp open\|filtered squid-ipc >32768/udp open\|filtered omad > >Nmap finished: 1 IP address (1 host up) scanned in 1.718 seconds > тебе nmap прямо говорит что у тебя открыты порты 53 123 3130 32768. так что ничего не "филтруеться" > >Что за порт 32768? lsof - говорит что это named. Странно!!!??? > ># lsof -i udp:32768 >COMMAND PID USER FD TYPE DEVICE SIZE >NODE NAME >named 5346 bind 28u IPv4 >7569 UDP *:32768 это наврное открытый (приемный) порт squid'a для общения с DNS сервером.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Почему фильтруется трафик при отключенном файрволе?"
	Сообщение от Garrik (??) on 09-Ноя-05, 16:10 (MSK)
	>тебе nmap прямо говорит что у тебя открыты порты 53 123 3130 >32768. >так что ничего не "филтруеться" А что значит filtered? Раньше было просто open...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Почему фильтруется трафик при отключенном файрволе?"
	Сообщение от Koba_LTD (??) on 09-Ноя-05, 17:05 (MSK)
	>>тебе nmap прямо говорит что у тебя открыты порты 53 123 3130 >>32768. >>так что ничего не "филтруеться" > >А что значит filtered? Раньше было просто open... ответ nmap незнает получилты доступ к свободному порту или в рамках разрешения фаервола вот тебе и opne\|filtered
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Почему фильтруется трафик при отключенном файрволе?"
	Сообщение от Garrik (??) on 09-Ноя-05, 18:18 (MSK)
	>ответ nmap незнает получилты доступ к свободному порту или в рамках разрешения >фаервола вот тебе и opne\|filtered Вот проведем эксперемент с tcp-портом, например c 21-м. Изначально все разрешено # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # nmap localhost -p 21 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-09 17:48 MSK Interesting ports on localhost (127.0.0.1): PORT STATE SERVICE 21/tcp open ftp Nmap finished: 1 IP address (1 host up) scanned in 0.250 seconds Видим порт открыт # iptables -A INPUT -p tcp -i lo --dport 21 -j DROP # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:ftp Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # nmap localhost -p 21 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-09 17:50 MSK Interesting ports on localhost (127.0.0.1): PORT STATE SERVICE 21/tcp filtered ftp Nmap finished: 1 IP address (1 host up) scanned in 0.438 seconds Видим что порт за файрволом. Так всегда было и с udp - портами. Но с тех пор я многое поменял в системе. Перешел на ядро 2.6 обновился с woody до sarge-testing потом до sarge-stable. Специально сейчас проверил в woody. При отключенном файрволе (я имею ввиду когда все можно ACCEPT во всехцепочках) nmap показывает open. В sarge-testing уже open\|filtered. Что-то я не пойму, если ">nmap незнает получилты доступ к свободному порту или в рамках разрешения", что он (nmap) тупее что ли стал. раньше знал а теперь не знает?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]