Неверное определение открытого порта или брешь в безопасности?

0

2

Здравствуйте. Имеется PC-роутер с Debian Wheezy на борту. Сегодня зашёл на https://2ip.ru/privacy/ и с удивлением обнаружил, что имеются открытые порты VPN. Просканировал все перечисленные порты с помощью онлайн-сканера - сканер сообщает, что они закрыты. А 2ip сообщает об обратном. В чём может быть дело? Никаких VPN-серверов на PC-роутере не установлено.

Ссылка

←	Маршрутизатор Huawei HG553 (Vodafone) с прошивкой D-LINK DVA-G3672B пример скрипта для VOIP телефонии.

Сообщение о выключении

→

Они могут быть открыты не у тебя, а выше, у провайдера, если ты за NAT'ом.

joy4eg ★★★★★
(19.01.16 16:41:50 MSK)

Ответ на: комментарий от joy4eg 19.01.16 16:41:50 MSK

Вроде нет, внешний IP белый, динамический.

Sferg ★
(19.01.16 16:46:53 MSK) автор топика

Ссылка

Ну так а netstat -untpl на самом роутере что говорит?

shell-script ★★★★★
(19.01.16 16:56:49 MSK)

Ответ на: комментарий от shell-script 19.01.16 16:56:49 MSK

# netstat -untpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address     Foreign Address State  PID/Program name
tcp        0      0 127.0.0.1:3306    0.0.0.0:*       LISTEN 3898/mysqld
tcp        0      0 0.0.0.0:3050      0.0.0.0:*       LISTEN 3337/inetd
tcp        0      0 0.0.0.0:3690      0.0.0.0:*       LISTEN 2909/svnserve
tcp        0      0 192.168.0.1:139   0.0.0.0:*       LISTEN 2999/smbd
tcp        0      0 127.0.0.1:11211   0.0.0.0:*       LISTEN 3150/memcached
tcp        0      0 192.168.0.1:2285  0.0.0.0:*       LISTEN 3817/sshd
tcp        0      0 0.0.0.0:80        0.0.0.0:*       LISTEN 3343/nginx
tcp        0      0 0.0.0.0:21        0.0.0.0:*       LISTEN 10672/proftpd: (acc
tcp        0      0 0.0.0.0:25        0.0.0.0:*       LISTEN 4277/master
tcp        0      0 0.0.0.0:443       0.0.0.0:*       LISTEN 3343/nginx
tcp        0      0 192.168.0.1:445   0.0.0.0:*       LISTEN 2999/smbd
tcp        0      0 0.0.0.0:6881      0.0.0.0:*       LISTEN 2849/transmission-d
tcp        0      0 0.0.0.0:9091      0.0.0.0:*       LISTEN 2849/transmission-d
tcp6       0      0 :::80             :::*            LISTEN 3343/nginx
tcp6       0      0 :::25             :::*            LISTEN 4277/master
tcp6       0      0 :::443            :::*            LISTEN 3343/nginx
tcp6       0      0 :::6881           :::*            LISTEN 2849/transmission-d
udp        0      0 0.0.0.0:6881      0.0.0.0:*              2849/transmission-d
udp        0      0 127.0.0.1:11211   0.0.0.0:*              3150/memcached
udp        0      0 0.0.0.0:67        0.0.0.0:*              3158/dhcpd
udp        0      0 0.0.0.0:68        0.0.0.0:*              3159/dhclient
udp        0      0 192.168.0.255:137 0.0.0.0:*              2864/nmbd
udp        0      0 192.168.0.1:137   0.0.0.0:*              2864/nmbd
udp        0      0 0.0.0.0:137       0.0.0.0:*              2864/nmbd
udp        0      0 192.168.0.255:138 0.0.0.0:*              2864/nmbd
udp        0      0 192.168.0.1:138   0.0.0.0:*              2864/nmbd
udp        0      0 0.0.0.0:138       0.0.0.0:*              2864/nmbd
udp        0      0 0.0.0.0:26503     0.0.0.0:*              3158/dhcpd
udp        0      0 0.0.0.0:59483     0.0.0.0:*              3159/dhclient
udp6       0      0 :::7401           :::*                   3158/dhcpd
udp6       0      0 :::54432          :::*                   3159/dhclient

Sferg ★
(19.01.16 17:06:42 MSK) автор топика

Дело может быть в 2ip. Что говорит nmap?

anonymous
(19.01.16 18:01:56 MSK)

Ответ на: комментарий от anonymous 19.01.16 18:01:56 MSK

# nmap -sT адрес
Starting Nmap 6.00 ( http://nmap.org ) at 2016-01-19 19:48 MSK
Nmap scan report for ip-адрес.bb.netbynet.ru (адрес)
Host is up (0.0017s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
25/tcp   open  smtp
80/tcp   open  http
443/tcp  open  https
3690/tcp open  svn
6881/tcp open  bittorrent-tracker
9091/tcp open  xmltec-xmlmail

Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds

# nmap -sU адрес
Starting Nmap 6.00 ( http://nmap.org ) at 2016-01-19 19:48 MSK
Nmap scan report for ip-адрес.bb.netbynet.ru (адрес)
Host is up (0.000061s latency).
Not shown: 996 closed ports
PORT    STATE         SERVICE
67/udp  open|filtered dhcps
68/udp  open|filtered dhcpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

Sferg ★
(19.01.16 19:51:16 MSK) автор топика

Ссылка

сканер сообщает, что они закрыты

Собственно а чем или кем они закрыты? Вывод или скрин скинь, iptables, например, или что там у тебя.

Hi ★
(20.01.16 07:55:49 MSK)

Ответ на: комментарий от Hi 20.01.16 07:55:49 MSK

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
DROP       icmp --  anywhere             anywhere             icmp echo-request
DROP       all  --  anywhere             anywhere             Source countries: CN,KR,JP 
DROP       all  --  anywhere             anywhere             source IP range 78.47.120.32-78.47.120.47
DROP       all  --  anywhere             anywhere             source IP range 192.17.0.0-192.17.255.255
DROP       all  --  anywhere             anywhere             source IP range 130.126.0.0-130.126.255.255
DROP       all  --  anywhere             anywhere             source IP range 72.36.64.0-72.36.127.255
DROP       all  --  static-213-88-49-71.netbynet.ru  anywhere            
DROP       all  --  public-nat-pool-89-222-164-212.beirel.ru  anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
DROP       tcp  --  anywhere             anywhere             ctstate NEW tcpflags: FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP       tcp  --  anywhere             anywhere             ctstate NEW tcpflags: FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp  --  anywhere             anywhere             ctstate NEW tcpflags:! FIN,SYN,RST,ACK/SYN
REJECT     tcp  --  anywhere             anywhere             ctstate INVALID,NEW tcpflags: SYN,ACK/SYN,ACK reject-with tcp-reset
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
DROP       tcp  --  anywhere             anywhere             tcpflags: SYN,RST/SYN,RST
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN/FIN,SYN
           tcp  --  anywhere             anywhere             tcp multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 ctstate NEW recent: SET name: ddos_block_conn_tcp side: source
DROP       tcp  --  anywhere             anywhere             tcp multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 ctstate NEW recent: UPDATE seconds: 60 hit_count: 180 name: ddos_block_conn_tcp side: source
           udp  --  anywhere             anywhere             udp multiport dports ntp,netbios-ns,netbios-dgm,16843 ctstate NEW recent: SET name: ddos_block_conn_udp side: source
DROP       udp  --  anywhere             anywhere             udp multiport dports ntp,netbios-ns,netbios-dgm,16843 ctstate NEW recent: UPDATE seconds: 60 hit_count: 180 name: ddos_block_conn_udp side: source
DROP       tcp  --  anywhere             anywhere             multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 #conn src/32 > 16
ACCEPT     tcp  --  anywhere             anywhere             multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
DROP       udp  --  anywhere             anywhere             multiport dports ntp,netbios-ns,netbios-dgm,16843 #conn src/32 > 16
ACCEPT     udp  --  anywhere             anywhere             multiport dports ntp,netbios-ns,netbios-dgm,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
DROP       tcp  --  anywhere             anywhere             multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 #conn src/32 > 16
ACCEPT     tcp  --  anywhere             anywhere             multiport dports ftp-data,ftp,smtp,http,netbios-ssn,https,microsoft-ds,gds-db,svn,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
DROP       udp  --  anywhere             anywhere             multiport dports ntp,netbios-ns,netbios-dgm,16843 #conn src/32 > 16
ACCEPT     udp  --  anywhere             anywhere             multiport dports ntp,netbios-ns,netbios-dgm,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
DROP       udp  --  anywhere             anywhere             PKTTYPE = broadcast
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere             ctstate NEW
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere             ctstate NEW

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     tcp  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports domain,http,netbios-ssn,https,microsoft-ds,2222,3333,aol,9080,15901,0:65535 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             multiport dports domain,ntp,netbios-ns,netbios-dgm,0:65535 ctstate NEW
ACCEPT     icmp --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports domain,http,netbios-ssn,https,microsoft-ds,2222,3333,aol,9080,15901,0:65535 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             multiport dports domain,ntp,netbios-ns,netbios-dgm,0:65535 ctstate NEW
ACCEPT     icmp --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             ctstate NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,RELATED,ESTABLISHED

Sferg ★
(20.01.16 09:15:57 MSK) автор топика

Ответ на: комментарий от Sferg 20.01.16 09:15:57 MSK

Можно более подробный вывод, а то эти строчки сильно смущают

ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere

Hi ★
(20.01.16 09:36:08 MSK)

Ответ на: комментарий от Sferg 19.01.16 17:06:42 MSK

Если порта нет в netstat то значит он закрыт и фаервол не нужен //К.О.

legolegs ★★★★★
(20.01.16 09:44:26 MSK)

Ответ на: комментарий от legolegs 20.01.16 09:44:26 MSK

Я вот хотел понять, можно ли установить соединение на него через другие порты исходя из настроек ТС'а. Но так толком и не разобрался, если честно.

Hi ★
(20.01.16 10:04:15 MSK)

Ссылка

Ответ на: комментарий от Hi 20.01.16 09:36:08 MSK

# iptables -L -n -v
Chain INPUT (policy DROP 134K packets, 11M bytes)
 pkts bytes target     prot opt in     out     source               destination 
  248  154K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5
  435  621K DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
 4527  525K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            Source countries: CN,KR,JP
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 78.47.120.32-78.47.120.47
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.17.0.0-192.17.255.255
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 130.126.0.0-130.126.255.255
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 72.36.64.0-72.36.127.255
    0     0 DROP       all  --  *      *       213.88.49.71         0.0.0.0/0   
    0     0 DROP       all  --  *      *       89.222.164.212       0.0.0.0/0   
 152K   45M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   
 2633  196K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcpflags: 0x3F/0x3F
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcpflags: 0x3F/0x00
   58  8186 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcpflags:! 0x17/0x02
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW tcpflags: 0x12/0x12 reject-with tcp-reset
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x29
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x06/0x06
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x03/0x03
 1650 92576            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp multiport dports 20,21,25,80,139,443,445,3050,3690,16843 ctstate NEW recent: SET name: ddos_block_conn_tcp side: source
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp multiport dports 20,21,25,80,139,443,445,3050,3690,16843 ctstate NEW recent: UPDATE seconds: 60 hit_count: 180 name: ddos_block_conn_tcp side: source
 4445  546K            udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp multiport dports 123,137,138,16843 ctstate NEW recent: SET name: ddos_block_conn_udp side: source
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp multiport dports 123,137,138,16843 ctstate NEW recent: UPDATE seconds: 60 hit_count: 180 name: ddos_block_conn_udp side: source
  130  7800 DROP       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,25,80,139,443,445,3050,3690,16843 #conn src/32 > 16
 1033 55700 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,25,80,139,443,445,3050,3690,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
    0     0 DROP       udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            multiport dports 123,137,138,16843 #conn src/32 > 16
   90  7844 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            multiport dports 123,137,138,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
    0     0 DROP       tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,25,80,139,443,445,3050,3690,16843 #conn src/32 > 16
   32  1776 ACCEPT     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,25,80,139,443,445,3050,3690,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
    0     0 DROP       udp  --  br0    *       0.0.0.0/0            0.0.0.0/0            multiport dports 123,137,138,16843 #conn src/32 > 16
 3874  494K ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0            multiport dports 123,137,138,16843 ctstate NEW limit: up to 36/min burst 24 mode srcip
 1384  342K DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            PKTTYPE = broadcast
 551K  574M ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth1   *       192.168.0.0/24       0.0.0.0/0            ctstate NEW
2943K  345M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 2009  406K ACCEPT     all  --  br0    *       192.168.0.0/24       0.0.0.0/0            ctstate NEW

Chain FORWARD (policy DROP 13 packets, 512 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 4682  216K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
  16M   21G ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 124K 7069K ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0            multiport dports 53,80,139,443,445,2222,3333,5190,9080,15901,0:65535 ctstate NEW
 699K  231M ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 108K 8111K ACCEPT     udp  --  *      eth1    0.0.0.0/0            0.0.0.0/0            multiport dports 53,123,137,138,0:65535 ctstate NEW
 2096  231K ACCEPT     icmp --  eth1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    2   168 ACCEPT     icmp --  *      eth1    0.0.0.0/0            0.0.0.0/0            ctstate NEW
7302K  817M ACCEPT     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      br0     0.0.0.0/0            0.0.0.0/0            multiport dports 53,80,139,443,445,2222,3333,5190,9080,15901,0:65535 ctstate NEW
 633K   55M ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  202 25425 ACCEPT     udp  --  *      br0     0.0.0.0/0            0.0.0.0/0            multiport dports 53,123,137,138,0:65535 ctstate NEW
   68  8720 ACCEPT     icmp --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      br0     0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 152K   45M ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   
   62  3104 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
 439K  250M ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED
 548K 7371M ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED

Sferg ★
(20.01.16 15:56:19 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Маршрутизатор Huawei HG553 (Vodafone) с прошивкой D-LINK DVA-G3672B пример скрипта для VOIP телефонии.

General

Сообщение о выключении

→

Похожие темы