Re: port 135
Le jeudi 18 septembre 2003, pascal a écrit...
bonjour,
> Le port semble bien fermé. Le pb est ...d'où vient que nmap le voit
> filtré?...
> Depuis l'extérieur (je viens de recommencer à partir d'une debian
> testing) nmap le voit filtré alors que depuis la machine, non ...
> Etrange...
Je ne suis pas un spécialiste mais le fait qu'il soit "filtered" paraît
normal si on en croit la page de man de nmap: un port est "filtered"
lorsque nmap ne sait pas mettre un diagnostic dessus. Or le 135 ne sert
à rien sous Linux, donc à priori il est fermé.
Mais là où ça devient marrant c'est quand tu essaies des scans moins
ordinaires avec nmap, style -sF ou -sA. Tu te rends compte que le port
peut paraître ouvert avec un scan sF si le parefeu filtre les fin scans:
il ne renvoie rien, donc le port est ouvert au sens du scan (puisque par
défaut iptables droppe en silence). En revanche si tu fais un ack scan
sur le même port et que le parefeu ne filtre pas ces scans, la machine
renvoie RST et le port est 'UNfiltered'(c'est à dire fermé et que nmap
n'a pas décelé de blocage lors du scan). Et si tu fais un scan syn sur ce
port fermé tu recevras un RST ce qui est normal (sauf si le port est
filtré) et le port apparaît 'closed'.
Lorsque tu fais un scan sur ta propre machine en local tu passes par lo,
et ce même si tu fais un scan sur ta propre ip. Là interviennent les
règles de ton parefeu qui peut filtrer sur lo, ou pas, (ou bien ne
filtrer que sur une iface, ce qui veut dire que les autres ne le sont
pas). Et donc si il y a filtre, nmap donnera un diagnostic en fonction de
ce qu'il recevra sur le type de scan qu'il a effectué. "En fonction de",
c'est la le truc !
Bon, je ne sais pas si j'ai été assez clair, mais quelques manips avec
nmap et hping2 sur la machine m'ont permis de comprendre deux trois
bricoles.
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Reply to: