ciao a tutti, proprio così. secondo nmap ci sono delle porte in stato OPEN ma il servizio non risponde (e non deve perchè bloccato da ACL sul pix [v. 7.0.7]) ma perchè OPEN??!
ecco la storiella: titolo: pensavo di vedere i mostri... personaggi: name xxx.xxx.22.111 TEST ------ PIX ------ INTERNET ------ pc-ext TEST: mailserver e webserver (solo la porta 25 deve essere aperta, webserver non pubblico) pix: access-list outside_access_in line 1 extended deny tcp any host TEST eq www (hitcnt=0) [messa solo come dimostrazione] access-list outside_access_in line 90 extended permit tcp any host TEST eq smtp (hitcnt=5756101) test mailserver: [EMAIL PROTECTED]:~$ telnet xxx.xxx.22.111 25 Trying xxx.xxx.22.111... Connected to xxx.xxx.22.111. Escape character is '^]'. 220 mailserver.xxx.it ESMTP Postfix ^] telnet> q Connection closed. test webserver: [EMAIL PROTECTED]:~$ telnet xxx.xxx.22.111 80 Trying xxx.xxx.22.111... Connected to xxx.xxx.22.111. Escape character is '^]'. get http ^] telnet> q Connection closed. connected? (notare che GET HTTP non restituisce niente) vediamo la regola sul pix: access-list outside_access_in line 1 extended deny tcp any host TEST eq www (hitcnt=1) l'hitcount incrementa... nmap: [EMAIL PROTECTED]:~$ nmap xxx.xxx.22.111 -p80 Starting Nmap 4.53 ( http://insecure.org ) at 2008-09-09 11:30 CEST Interesting ports on mailserver.xxx.it (xxx.xxx.22.111): PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.056 seconds open? pix: access-list outside_access_in line 1 extended deny tcp any host TEST eq www (hitcnt=2) TEST: #tcpdump host pc-ext mentre si esegue un telnet e un nmap sulla porta 80 da pc-ext non restituisce niente, nessun pacchetto appare su TEST da pc-ext, in compenso sul pix: access-list outside_access_in line 1 extended deny tcp any host TEST eq www (hitcnt=4) la cosa più strana ancora è che eseguendo # nmap -P0 xxx.xxx.22.111 restituisce TUTTE le porte 'open' ma ovviamente non risponde nessun servizio anche mettendo un servizio in ascolto su qualsiasi porta se non si crea l'ACL sul pix non risponde (giustamente!), ma da comunque porta aperta... questo scherzetto lo fa anche su altri 3 ip. cosa hanno in comune? apparentemente niente: SO diversi, ip non contigui, sono macchine reali che virtuali che clusterizzate... aggiungendo/cambiando ip alla stessa scheda di rete su TEST tutto funziona come dovrebbe e nmap NON restituisce tutte le porte aperte ma solo la 25. ho cercato bug possibili ma non ho trovato niente... any ideas? grazie, -- dario calamai
_______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
