---

Jeg lavede lige en standard scan af min firewall og fik følgende:

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Strange read error from 127.0.0.1 (104): Operation now in progress
Interesting ports on outland (127.0.0.1):
(The 1522 ports scanned but not shown below are in state: closed)
Port State Service
1360/tcp open mimer <---
HVAD I ALVERDEN ER DET???

Den mystiske service var væk, da jeg umiddelbart efter forsøgte igen.
Alle ideer er velkomne.

-mb

---

"Martin Bundgaard" <kubrick@mail.dk> writes:

> Jeg lavede lige en standard scan af min firewall og fik følgende:
>
> Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
> Strange read error from 127.0.0.1 (104): Operation now in progress
> Interesting ports on outland (127.0.0.1):
> (The 1522 ports scanned but not shown below are in state: closed)
> Port State Service
> 1360/tcp open mimer <---
> HVAD I ALVERDEN ER DET???
>
> Den mystiske service var væk, da jeg umiddelbart efter forsøgte igen.
> Alle ideer er velkomne.
>
> -mb
>
lsof -i tcp:1360
skulle gerne vise hvad det er for et program, der har porten åben


--
Joakim Recht
Tlf. 20 85 54 77
Email god@cs.auc.dk
WWW http://www.braindump.dk / http://www.compuclub.dk

---

> lsof -i tcp:1360
> skulle gerne vise hvad det er for et program, der har porten åben

Problemet er bare at den kun var åben et kort øjeblik.

-mb

---

Den Sun, 29 Apr 2001 13:41:49 +0200 skrev Martin Bundgaard:
>Jeg lavede lige en standard scan af min firewall og fik følgende:
>
>Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
>Strange read error from 127.0.0.1 (104): Operation now in progress
>Interesting ports on outland (127.0.0.1):
>(The 1522 ports scanned but not shown below are in state: closed)
>Port State Service
>1360/tcp open mimer <---
>HVAD I ALVERDEN ER DET???

Porte >1024 er porte allokeret til user-processer - ikke daemons. Det
kunne fx. være ICQ eller en passive FTP (hvadsomhelst der skal bruge
en indgående connection på en random port).

Mvh
Kent
--
Nu med en e-mail adresse der virker...

---

> Porte >1024 er porte allokeret til user-processer - ikke daemons. Det
> kunne fx. være ICQ eller en passive FTP (hvadsomhelst der skal bruge
> en indgående connection på en random port).

Jeg kan bare ikke se hvad det skulle være. Jeg har ikke haft noget som helst
kørende fra boxen, og den er firewall'et MEGET grundigt.
Der står jo godtnok også, at der er en mærkelig fejl i det dump jeg
inkluderede... hmm... måske er det bare en glitch.

-mb

---

Den Sun, 29 Apr 2001 14:08:32 +0200 skrev Martin Bundgaard:
>> Porte >1024 er porte allokeret til user-processer - ikke daemons. Det
>> kunne fx. være ICQ eller en passive FTP (hvadsomhelst der skal bruge
>> en indgående connection på en random port).
>
>Jeg kan bare ikke se hvad det skulle være. Jeg har ikke haft noget som helst
>kørende fra boxen, og den er firewall'et MEGET grundigt.
>Der står jo godtnok også, at der er en mærkelig fejl i det dump jeg
>inkluderede... hmm... måske er det bare en glitch.

En firewall forhindrer ikke programmer i at lytte på bestemte porte -
de får bare ikke noget connections.

Jeg har følgende på tcp highports:
(netstat -apn | grep LISTEN)

4000 gnomeicu
2049 rpc.nfsd
6000 X

Og der er også firewall'et meget grundigt af.

Mvh
Kent
--
Nu med en e-mail adresse der virker...

---

> En firewall forhindrer ikke programmer i at lytte på bestemte porte -
> de får bare ikke noget connections.

Nej selvfølgelig, men jeg har ingen daemons udover ssh kørende. Maskinen er
en dedikeret firewall.
Og ingen klienter som har lavet forbindelser udadtil, så det var heller ikke
bare en tilfældig "svar-port" der var åben.

-mb

---

Den Sun, 29 Apr 2001 14:21:35 +0200 skrev Martin Bundgaard:
>> En firewall forhindrer ikke programmer i at lytte på bestemte porte -
>> de får bare ikke noget connections.
>
>Nej selvfølgelig, men jeg har ingen daemons udover ssh kørende. Maskinen er
>en dedikeret firewall.
>Og ingen klienter som har lavet forbindelser udadtil, så det var heller ikke
>bare en tilfældig "svar-port" der var åben.

En masqueradet / NAT'et svarport?

Mvh
Kent
--
Nu med en e-mail adresse der virker...

---

> En masqueradet / NAT'et svarport?

Hmm, tænker du på de porte masquerading'en bruger internt? Det tror jeg
faktisk let det kunne være.

Tak for hjælpen.

-mb

---

Den Sun, 29 Apr 2001 14:40:15 +0200 skrev Martin Bundgaard:
>
>> En masqueradet / NAT'et svarport?
>
>Hmm, tænker du på de porte masquerading'en bruger internt? Det tror jeg
>faktisk let det kunne være.

Ja, men kun svarporte. Altså ikke fx. en http-forbindelse, men sagtens
en FTP. De ligger SVJH for ipchains vedkommende i området 61000-65000,
men for iptables kan de ligge over det hele.

Mvh
Kent
--
Nu med en e-mail adresse der virker...

---

Martin Bundgaard <kubrick@mail.dk> wrote:
>Jeg lavede lige en standard scan af min firewall og fik følgende:
>
>Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
>Strange read error from 127.0.0.1 (104): Operation now in progress
>Interesting ports on outland (127.0.0.1):

Du har scannet dit loopback interface, hvilket kun kan tilgaas lokalt. Scan
istedet din externe IP/hostname.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Du har scannet dit loopback interface, hvilket kun kan tilgaas lokalt.
Scan
> istedet din externe IP/hostname.

Det var ikke ment som en grundig undersøgelse af min firewall. Jeg havde
lige åbnet INPUT på lo, og ville checke om det var sket.

-mb

---

a@area51.dk (Alex Holst) wrote:

>Du har scannet dit loopback interface, hvilket kun kan tilgaas lokalt. Scan
>istedet din externe IP/hostname.

Fra en anden maskine, vel at mærke. Ellers får man (i hvert fald med
ipchains) samme resultat.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen <aolesen@post3.tele.dk> wrote:
>>Du har scannet dit loopback interface, hvilket kun kan tilgaas lokalt. Scan
>>istedet din externe IP/hostname.
>
>Fra en anden maskine, vel at mærke. Ellers får man (i hvert fald med
>ipchains) samme resultat.

Det burde bestemt ikke vaere noedvendigt. Din maskine skal helst kunne
skelne mellem hvert interface, og her er loopback blot endnu et saadant.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) wrote:

>Det burde bestemt ikke vaere noedvendigt. Din maskine skal helst kunne
>skelne mellem hvert interface, og her er loopback blot endnu et saadant.

Hvis jeg laver en nmap udefra, finder den ikke een eneste port åben.

Hvis jeg laver en nmap fra maskinen selv, får jeg:

#nmap 195.249.81.100

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com,
www.insecure.org/nmap/)
Interesting ports on ip100.kdnxr1.ras.tele.dk (195.249.81.100):
Port State Protocol Service
13 open tcp daytime
21 open tcp ftp
23 open tcp telnet
25 open tcp smtp
37 open tcp time
79 open tcp finger
80 open tcp http
98 open tcp linuxconf
109 open tcp pop-2
110 open tcp pop-3
111 open tcp sunrpc
113 open tcp auth
120 open tcp cfdptkt
139 open tcp netbios-ssn
143 open tcp imap2
513 open tcp login
514 open tcp shell
515 open tcp printer
748 open tcp ris-cm
769 open tcp vid
774 open tcp rpasswd
779 open tcp unknown
901 open tcp unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 6 seconds


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9eoivp.1bnf.a@F-Control.Area51.DK...
> Det burde bestemt ikke vaere noedvendigt. Din maskine skal helst kunne
> skelne mellem hvert interface, og her er loopback blot endnu et
saadant.

Mon ikke kerne router trafikken over loopbackinterfacet, når den ser at
trafikken er til sig selv?


--
Morten Boysen