---

Hej,

Hvis jeg via denne kommando scanner en server med en software firewall:
nmap -sS -PT PI -P0 xxx.xxx.xxx.xxx

Så får jeg dette output:
6000/tcp closed X11
6001/tcp closed X11:1
6001/tcp closed X11:2
6001/tcp closed X11:3
6001/tcp closed X11:4

Ja, der står det er lukket, men hvorfor vises det?
Jeg har ikke noget kørende på disse porte...

/C

---

On Fri, 16 Dec 2005 14:57:22 +0100, COZ <dffgd@dgkjhgf.com> wrote:

>Ja, der står det er lukket, men hvorfor vises det?
>Jeg har ikke noget kørende på disse porte...

De er lukkede, netop *fordi* du ikke har noget kørende på de porte.

Som standard er enhver port lukket, hvis der ikke køres noget på den.
Hvis man fx prøver at forbinde til en port på en maskine, og der ikke
kører nogen service på den port, svarer maskinen tilbage, at porten er
utilgængelig. Det er helt normalt og en del af en fornuftig opførsel.

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

---

COZ wrote:
>
> Ja, der står det er lukket, men hvorfor vises det?
> Jeg har ikke noget kørende på disse porte...

Ja, det er lige netop hvad closed betyder.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont wrote:
> COZ wrote:
>
>>Ja, der står det er lukket, men hvorfor vises det?
>>Jeg har ikke noget kørende på disse porte...
>
>
> Ja, det er lige netop hvad closed betyder.
>
Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og hvor
for ikke 1-1024 f.eks?
Hvorfor kun disse?

/

---

Den Sun, 18 Dec 2005 16:43:49 +0100 skrev COZ:
> Kasper Dupont wrote:
>> COZ wrote:
>>
>>>Ja, der står det er lukket, men hvorfor vises det?
>>>Jeg har ikke noget kørende på disse porte...
>>
>>
>> Ja, det er lige netop hvad closed betyder.
>>
> Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og hvor
> for ikke 1-1024 f.eks?
> Hvorfor kun disse?

De fleste 1-1024 skulle meget gerne være closed også.

Det skulle dem over 1024 også, men de fleste scannerværktøjer scanner
ikke alle porte, da det vil tage for lang tid. I stedet scanner de
dem der er mest interessante, dvs. de fleste porte i intervallet
1-1023, samt nogle specifikke fra 1024 og op, heriblandt 6000 - 6010
eller deromkring.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
> Den Sun, 18 Dec 2005 16:43:49 +0100 skrev COZ:
>
>>Kasper Dupont wrote:
>>
>>>COZ wrote:
>>>
>>>
>>>>Ja, der står det er lukket, men hvorfor vises det?
>>>>Jeg har ikke noget kørende på disse porte...
>>>
>>>
>>>Ja, det er lige netop hvad closed betyder.
>>>
>>
>>Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og hvor
>>for ikke 1-1024 f.eks?
>>Hvorfor kun disse?
>
>
> De fleste 1-1024 skulle meget gerne være closed også.
>
> Det skulle dem over 1024 også, men de fleste scannerværktøjer scanner
> ikke alle porte, da det vil tage for lang tid. I stedet scanner de
> dem der er mest interessante, dvs. de fleste porte i intervallet
> 1-1023, samt nogle specifikke fra 1024 og op, heriblandt 6000 - 6010
> eller deromkring.
>
> Mvh
> Kent

Hej Kent,

Tak for et godt svar.

/C

---

On Sun, 18 Dec 2005 16:43:49 +0100, COZ <kofo@spamspamspam.org> wrote:

> Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og
> hvor for ikke 1-1024 f.eks?

Der er to forskellige måder ikke at få svar. Den ene er intet svar
overhovedet og den anden er 'der er ingen service her på den port'.
Det er i praksis ligegyldigt, om det er det ene eller det andet.

> Hvorfor kun disse?

Hvor skulle vi vide det fra? (Hint: Du har ikke fortalt os noget som
helst om dit setup).

-A

---

Asbjorn Hojmark wrote:
> On Sun, 18 Dec 2005 16:43:49 +0100, COZ <kofo@spamspamspam.org> wrote:
>
>
>>Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og
>>hvor for ikke 1-1024 f.eks?
>
>
> Der er to forskellige måder ikke at få svar. Den ene er intet svar
> overhovedet og den anden er 'der er ingen service her på den port'.
> Det er i praksis ligegyldigt, om det er det ene eller det andet.
>

Det har du ret i...


>>Hvorfor kun disse?
>
>
> Hvor skulle vi vide det fra? (Hint: Du har ikke fortalt os noget som
> helst om dit setup).
>

Setup er i denne forbindelse uden betydning.

/

---

COZ wrote:
>
> Asbjorn Hojmark wrote:
> >
> > Hvor skulle vi vide det fra? (Hint: Du har ikke fortalt os noget som
> > helst om dit setup).
> >
>
> Setup er i denne forbindelse uden betydning.

Oplysningerne er nødvendige for at kunne besvare
dit spørgsmål. Hvis det er uden betydning, hvorfor
stillede du så overhovedet spørgsmålet?

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

COZ wrote:
>
> Men i svarer ikke på HVORFOR de vises. Hvorfor disse 6xxx porte og hvor
> for ikke 1-1024 f.eks?
> Hvorfor kun disse?

Måske glemmer firewallen at svare på alle de andre.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

On Fri, 16 Dec 2005 14:57:22 +0100
COZ <dffgd@dgkjhgf.com> wrote:

> Hej,
>
> Hvis jeg via denne kommando scanner en server med en software
> firewall: nmap -sS -PT PI -P0 xxx.xxx.xxx.xxx
>
> Så får jeg dette output:
> 6000/tcp closed X11
> 6001/tcp closed X11:1
> 6001/tcp closed X11:2
> 6001/tcp closed X11:3
> 6001/tcp closed X11:4
>
> Ja, der står det er lukket, men hvorfor vises det?
> Jeg har ikke noget kørende på disse porte...
>
> /C


Når du kører nmap, så bemærk linien:
(The 1663 ports scanned but not shown below are in state: filtered)

Det betyder at der ikke kom svar fra nogle af portene (filtered), dog
med undtagelse af port 6000-6001, som svarer tilbage at de er lukkede.

Hvorfor nogle porte svarer, og andre ikke gør - kommer lidt an på dit
setup.

Her er en portscan af mig selv:

Starting nmap 3.83.DC13 ( http://www.insecure.org/nmap/ ) at ...
Interesting ports on domain.dk (xx.xx.xx.xx):
(The 1663 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
119/tcp filtered nntp
1720/tcp filtered H.323/Q.931

Nmap finished: 1 IP address (1 host up) scanned in 3.281 seconds

Alle porte på min computer vil give et svar, hvad enten de er lukkede
(closed) eller åbne (open). Min ISP derimod blokerer for alt trafik til
port 25, 119 og 1720 så der kommer ikke noget svar (filtered).

Med venlig hilsen,
- Johnny Carlsen

---

On Mon, 26 Dec 2005 03:18:50 +0100, Johnny Rose Carlsen <jrc@wenix.dk>
wrote:

> Min ISP derimod blokerer for alt trafik til port 25, 119 og 1720
> så der kommer ikke noget svar (filtered).

Filtrering af 25/tcp og 119/tcp er givet for at undgå for problemer
med spam (omend filtrering af 119/tcp er et tvivlsomt valg), men
1720/tcp?

Ved du, hvorfor de filtrerer 1720/tcp? Den bruges normalt til H.323
(telefoni og conferencing), og jeg kan ikke mindes at have hørt om, at
den skulle være blevet brugt skidt.

-A

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

>Filtrering af 25/tcp og 119/tcp er givet for at undgå for problemer
>med spam (omend filtrering af 119/tcp er et tvivlsomt valg), men
>1720/tcp?

Der har været mange eksempler på folk, der kørte egne news-proxies
med fuld adgang til at poste fra hele verden. Ens ISP kan hurtigt
blive upopulær på den måde.

Mvh.
   Klaus.