LINUX.ORG.RU
решено ФорумAdmin

порт фильтруется игнорируя правила iptables

 , , ,


0

1

есть 25 порт и есть exim, который должен только отправлять письма. порт фильтруется извне, изнутри всё ок. то есть, как будто всё верно, за исключением того, что правила на закрытие порта нет в iptables. сервер под контролем богомерзкого исп манагера, его правила появляются в выводе iptables-save и отрабатываются корректно:

# iptables-save
# Generated by iptables-save v1.4.14 on Wed Sep  4 09:06:07 2013
*filter
:INPUT ACCEPT [4277793:1848496932]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2093363:12620577743]
:ISPMGR - [0:0]
-A INPUT -j ISPMGR
-A OUTPUT -j ISPMGR
-A ISPMGR -p tcp -m tcp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A ISPMGR -p tcp -m tcp --dport 587 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Sep  4 09:06:07 2013

куда ещё тыкать-то? что может фильтровать порт кроме iptables? может ли exim сам такое вытворять?

★★★

Последнее исправление: cetjs2 (всего исправлений: 2)

Ответ на: комментарий от xsektorx

ну значит провайдер может это дело у себя выше резать, кто его знает.

Проверь таки netstat -tunlp | grep exim, т.к. фильтруется или нет в нмапе зависит от того, дропаешь ли ты пакеты, или реджектишь файрволлом.

blind_oracle ★★★★★
()
Ответ на: комментарий от xsektorx

«Администраторы могут заблокировать такие порты с помощью брандмауэров. Тогда их состояние будет определено как фильтруется...
Nmap не может определить, открыт ли порт, т.к. фильтрация пакетов не позволяет достичь запросам Nmap этого порта. Фильтрация может осуществляться выделенным брадмауэром, правилами роутера или брандмауэром на целевой машине. Эти порты бесполезны для атакующих, т.к. предоставляют очень мало информации. Иногда они отвечают ICMP сообщениями об ошибке, такими как тип 3 код 13 (destination unreachable: communication administratively prohibited (цель назначения недоступна: связь запрещена администратором)), но чаще встречаются фильтры, которые отбрасывают запросы без предоставления какой-либо информации. Это заставляет Nmap совершить еще несколько запросов, чтобы убедиться, что запрос был отброшен фильтром, а не затором в сети. Это очень сильно замедляет сканирование.

Это состояние означает, что порт доступен, но Nmap не может определить открыт он или закрыт. Только ACK сканирование, используемое для определения правил брандмауэра, может охарактеризовать порт этим состоянием. Сканирование не фильтруемых портов другими способами, такими как Window сканирование, SYN сканирование или FIN сканирование может помочь определить, является ли порт открытым.»

uspen ★★★★★
()
Ответ на: комментарий от blind_oracle

экзим слушает, я уже проверил

фильтруется или нет в нмапе зависит от того, дропаешь ли ты пакеты, или реджектишь файрволлом

дак в том-то и проблема, что в правилах фаерволла пусто на эту тему, а нмап говорит, что фильтруется

xsektorx ★★★
() автор топика
Ответ на: комментарий от uspen

да не суть. телнетом я подключаюсь, он молча ничего не делает. судя по этому, могу предположить, что пакеты дропаются

xsektorx ★★★
() автор топика
Ответ на: комментарий от xsektorx

вот поэтому я тебе и привел цитату.

uspen ★★★★★
()
Ответ на: комментарий от blind_oracle

происходила попытка подключиться, но по факту начала сессии было не дождаться

xsektorx ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.