[lug-ld] Ahnunghaber netfilter (iptables) gesucht

Ekki Plicht (DF4OR) ekki at plicht.de
Mi Feb 14 18:08:55 CET 2018 

Tag.

Wie ihr wisst bin ich einer der gefährlichsten Menschen im Internet: jemand
mit gesundem Halbwissen :) Vor allem was Router betrifft.

Nun habe ich den zentralen Router unserer Firma in meiner Verantwortung.
Nachdem ich bei einem bestimmten Problem nicht weiterkam, hat sich heute
mal ein Supporter unseres lokalen Providers meine Konfiguration angeguckt.
Er hat erst gelacht, dann die Firewallregeln geändert, so das es jetzt
sicher sei, also kein unerlaubter Zugriff von Aussen möglich sei.

Ok, ich lerne ja gerne dazu.

Heute abend habe ich mal von zuhause aus einen Portscan auf unsere public
IP Adresse gemacht, und siehe da, etliche Ports im State "filtered", drei
sind "open", u.a. DNS (Port 53). WTF?

Oder verstehe ich da was falsch?

----------------------------------------
Hier das erste Resultat von nmap, mit den Filterregeln des Supporters.

root at grappa ~ # nmap wimo*********

Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-14 17:45 CET
Nmap scan report for wimo******  (x.x.x.x)
Host is up (0.034s latency).
Not shown: 983 closed ports
PORT     STATE    SERVICE
22/tcp   filtered ssh
23/tcp   filtered telnet
53/tcp   open     domain
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
161/tcp  filtered snmp
179/tcp  filtered bgp
445/tcp  filtered microsoft-ds
1900/tcp filtered upnp
2000/tcp open     cisco-sccp
2222/tcp filtered EtherNetIP-1
2323/tcp filtered 3d-nfsd
5998/tcp filtered ncd-diag
6001/tcp filtered X11:1
6002/tcp open     X11:2
7777/tcp filtered cbt
8291/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 13.41 seconds

----------------------------------------
Und hier das nmap-Resultat 'meiner' Filterregeln, die ich auch nur aus dem
Supportforum des Routerherstellers abgeschrieben habe.

root at grappa ~ # nmap wimo****

Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-14 17:55 CET
Nmap scan report for wimo**** (x.x.x.x)
Host is up (0.031s latency).
Not shown: 999 filtered ports
PORT     STATE SERVICE
6002/tcp open  X11:2

Nmap done: 1 IP address (1 host up) scanned in 28.61 seconds
----------------------------------------

Der Unterschied zwische den beiden Scans war nur, das ich 'seine' Regeln
disabled habe und 'meine' wieder enabled.

Sehe ich das richtig, das 'meine' Konfiguration besser greift? Oder
interpretiere ich da was falsch?

Was der offene Port 6002 da macht finde ich auch noch raus.

Ich wäre dankbar wenn sich mal jemand meldet der sich meine Filterregeln
anguckt, gerne vor Ort, gerne per Teamviewer, es darf auch Geld kosten.


Danke.
Ekki
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: http://lists.lug-ld.de/pipermail/lug-ld/attachments/20180214/d3af61c9/attachment.htm