Ungewollte offene Ports trotz Firewall
Hallo Leute, habe mal einen Portscan auf meinen Computer losgelassen und folgende offene Ports trotz SuSEfirewall (ipchains) entdeckt: 21 ftp 22 ssh 389 ldap 1002 unbekannt (icq?; incoming ftp-data?) 1720 h323hostcall 47624 Direct Play Server Ports 21 (ftp) und 22 (ssh) sollen offen sein, aber die anderen nicht. 389 (ldap) kann ich mir vorstellen, daß es vom ProFTPD-Server (Authorisierung) kommt, aber was sollen die anderen? Vor allem der Direct Play Server und h323hostcall (Telekonferenzprotokoll?) machen mich stutzig. Lokal habe ich zusätzlich noch folgende offen: 25 smtp 119 nntp (leafnode) 631 cups 1036 icq 6000 X11 7741 unbekannt Was soll ich am besten machen? Einfach schließen oder sind die für irgendwas notwendig? MfG Rene
Hi Rene, Am Donnerstag, 31. Januar 2002 23:26 schrieb Rene Broichmann:
Hallo Leute,
habe mal einen Portscan auf meinen Computer losgelassen und folgende offene Ports trotz SuSEfirewall (ipchains) entdeckt:
21 ftp 22 ssh 389 ldap 1002 unbekannt (icq?; incoming ftp-data?) 1720 h323hostcall 47624 Direct Play Server
Was sagt den ein "ipchains -nL" ?? Da sollte alles drinstehen, was im Endeffekt geblockt wird. Gruß Martin
Martin Knipper schrieb:
Hi Rene,
Am Donnerstag, 31. Januar 2002 23:26 schrieb Rene Broichmann:
Hallo Leute,
habe mal einen Portscan auf meinen Computer losgelassen und folgende offene Ports trotz SuSEfirewall (ipchains) entdeckt:
21 ftp 22 ssh 389 ldap 1002 unbekannt (icq?; incoming ftp-data?) 1720 h323hostcall 47624 Direct Play Server
Was sagt den ein "ipchains -nL" ??
Da sollte alles drinstehen, was im Endeffekt geblockt wird.
Ich hänge die Ausgabe von ipchains -nL mal als Datei an... MfG Rene
Rene Broichmann wrote:
Hallo Leute,
habe mal einen Portscan auf meinen Computer losgelassen und folgende offene Ports trotz SuSEfirewall (ipchains) entdeckt:
21 ftp 22 ssh 389 ldap 1002 unbekannt (icq?; incoming ftp-data?) 1720 h323hostcall 47624 Direct Play Server
Ports 21 (ftp) und 22 (ssh) sollen offen sein, aber die anderen nicht. 389 (ldap) kann ich mir vorstellen, daß es vom ProFTPD-Server (Authorisierung) kommt, aber was sollen die anderen? Vor allem der Direct Play Server und h323hostcall (Telekonferenzprotokoll?) machen mich stutzig.
Lokal habe ich zusätzlich noch folgende offen: 25 smtp 119 nntp (leafnode) 631 cups 1036 icq 6000 X11 7741 unbekannt
Was soll ich am besten machen? Einfach schließen oder sind die für irgendwas notwendig?
Womit hast Du gescannt? nmap? alles, was oberhalb von 1023 ist kann vom Kernel dynamisch vergeben werden, also z.B. eine von Dir initiierte ftp-Verbindung nach draußen sein. Prüfe mit netstat -a, welche Sockets womit verbunden sind und dann mit fuser, welche Programme dahinter stehen. Ob LDAP läuft, sollte Dir ps -ax sagen (OpenLDAP zeigt dann z.B. den Prozeß slapd), der ProFTPD liefert AFAIK keinen eigenen LDAP, es kann sich aber gegen z.B. OpenLDAP authorisieren. Und noch ' ne Frage: was bedeutet bei Dir "Lokal offen?" Gruß hebi -- Dirk Hebenstreit Tel : +49-0170-2461522 Eschenweg 3 +49-033200-85997 14558 Bergholz-Rehbruecke Dirk.Hebenstreit@epost.de PingoS - LINUX-User helfen Schulen: http://www.pingos.schulnetz.org
On Fri, 01 Feb 2002, Dirk Hebenstreit wrote: [..offene ports..]
sein. Prüfe mit netstat -a, welche Sockets womit verbunden sind und dann mit fuser, welche Programme dahinter stehen.
netstat -cuntp (ok, das ist jetzt auf tcp+udp beschraekt, aber die Optionen lassen sich so einfach gut merken *eg*) -dnh PS: hebi, schoen, dass man dich mal wieder liest *freu* -- NT is the only OS that has caused me to beat a piece of hardware to death with my bare hands. -- Derry Hamilton
Dirk Hebenstreit schrieb:
Rene Broichmann wrote:
Hallo Leute,
habe mal einen Portscan auf meinen Computer losgelassen und folgende offene Ports trotz SuSEfirewall (ipchains) entdeckt:
21 ftp 22 ssh 389 ldap 1002 unbekannt (icq?; incoming ftp-data?) 1720 h323hostcall 47624 Direct Play Server
Ports 21 (ftp) und 22 (ssh) sollen offen sein, aber die anderen nicht. 389 (ldap) kann ich mir vorstellen, daß es vom ProFTPD-Server (Authorisierung) kommt, aber was sollen die anderen? Vor allem der Direct Play Server und h323hostcall (Telekonferenzprotokoll?) machen mich stutzig.
Lokal habe ich zusätzlich noch folgende offen: 25 smtp 119 nntp (leafnode) 631 cups 1036 icq 6000 X11 7741 unbekannt
Was soll ich am besten machen? Einfach schließen oder sind die für irgendwas notwendig?
Womit hast Du gescannt? nmap?
Genau.
alles, was oberhalb von 1023 ist kann vom Kernel dynamisch vergeben werden, also z.B. eine von Dir initiierte ftp-Verbindung nach draußen sein. Prüfe mit netstat -a, welche Sockets womit verbunden sind und dann mit fuser, welche Programme dahinter stehen. Ob LDAP läuft, sollte Dir ps -ax sagen (OpenLDAP zeigt dann z.B. den Prozeß slapd), der ProFTPD liefert AFAIK keinen eigenen LDAP, es kann sich aber gegen z.B. OpenLDAP authorisieren.
LDAP läuft nicht, habe auch die Einträge in /etc/proftpd.conf auskommentiert. Deswegen wundert mich ja auch, daß der Port trotzdem offen ist.
Und noch ' ne Frage: was bedeutet bei Dir "Lokal offen?"
Mit "lokal" meine ich, daß die Server zwar auf meinem Rechner laufen und die entsprechenden Ports offen sind, aber von außen von der Firewall geblockt werden. Habe mir jedenfalls den fwbuilder mal gezogen und werde mir damit die Firewall an meine Verhältnisse anpassen (die ganzen Regeln von Hand aufzusetzen habe ich leider keine Zeit für, ist außerdem nur ein einzelner Rechner).
Gruß hebi
Ciao Rene
Rene Broichmann schrieb am Mon, Feb 04, 2002 at 12:57:31AM +0100:
Mit "lokal" meine ich, daß die Server zwar auf meinem Rechner laufen und die entsprechenden Ports offen sind, aber von außen von der Firewall geblockt werden.
Du weißt, daß Du bestimmte Dienste an bestimmte IP-Adressen (also an bestimmte Interfaces) binden kannst? Wenn nach "außen" hin auf einem Port kein Dienst angeboten wird, muß man ihn auch nicht sperren... Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
participants (5)
-
Christian Schmidt -
David Haller -
Dirk Hebenstreit -
Martin Knipper -
Rene Broichmann