Il 9 settembre 2008 13.30, Dario Calamai <[EMAIL PROTECTED]> ha scritto: > ciao a tutti, > > proprio così. secondo nmap ci sono delle porte in stato OPEN ma il > servizio non risponde (e non deve perchè bloccato da ACL sul pix [v. > 7.0.7]) > ma perchè OPEN??! > > ecco la storiella: > > titolo: pensavo di vedere i mostri... > > personaggi: > name xxx.xxx.22.111 TEST ------ PIX ------ INTERNET ------ pc-ext > > TEST: mailserver e webserver (solo la porta 25 deve essere aperta, > webserver non pubblico) > > pix: > access-list outside_access_in line 1 extended deny tcp any host TEST > eq www (hitcnt=0) [messa solo come dimostrazione] > access-list outside_access_in line 90 extended permit tcp any host > TEST eq smtp (hitcnt=5756101) > > > test mailserver: > > [EMAIL PROTECTED]:~$ telnet xxx.xxx.22.111 25 > Trying xxx.xxx.22.111... > Connected to xxx.xxx.22.111. > Escape character is '^]'. > 220 mailserver.xxx.it ESMTP Postfix > ^] > telnet> q > Connection closed. > > test webserver: > [EMAIL PROTECTED]:~$ telnet xxx.xxx.22.111 80 > Trying xxx.xxx.22.111... > Connected to xxx.xxx.22.111. > Escape character is '^]'. > get http > > > ^] > telnet> q > Connection closed. > > > connected? (notare che GET HTTP non restituisce niente) vediamo la > regola sul pix: > access-list outside_access_in line 1 extended deny tcp any host TEST > eq www (hitcnt=1) > > l'hitcount incrementa... > > nmap: > [EMAIL PROTECTED]:~$ nmap xxx.xxx.22.111 -p80 > > Starting Nmap 4.53 ( http://insecure.org ) at 2008-09-09 11:30 CEST > Interesting ports on mailserver.xxx.it (xxx.xxx.22.111): > PORT STATE SERVICE > 80/tcp open http > > Nmap done: 1 IP address (1 host up) scanned in 0.056 seconds > > open? > pix: access-list outside_access_in line 1 extended deny tcp any host > TEST eq www (hitcnt=2) > > > TEST: > #tcpdump host pc-ext > mentre si esegue un telnet e un nmap sulla porta 80 da pc-ext non > restituisce niente, nessun pacchetto appare su TEST da pc-ext, in > compenso > sul pix: access-list outside_access_in line 1 extended deny tcp any > host TEST eq www (hitcnt=4) > > > la cosa più strana ancora è che eseguendo > # nmap -P0 xxx.xxx.22.111 > restituisce TUTTE le porte 'open' ma ovviamente non risponde nessun servizio > anche mettendo un servizio in ascolto su qualsiasi porta se non si > crea l'ACL sul pix non risponde (giustamente!), ma da comunque porta > aperta... > > questo scherzetto lo fa anche su altri 3 ip. > cosa hanno in comune? apparentemente niente: SO diversi, ip non > contigui, sono macchine reali che virtuali che clusterizzate... > aggiungendo/cambiando ip alla stessa scheda di rete su TEST tutto > funziona come dovrebbe e nmap NON restituisce tutte le porte aperte ma > solo la 25. > > ho cercato bug possibili ma non ho trovato niente... > > any ideas? > > > > grazie, > -- > dario calamai > > _______________________________________________ > Cug mailing list > http://www.areanetworking.it/index_docs.php > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug > >
Il problema e' il tcp intercept (che dalla versione 6.2 usa il metodo syn cookie) http://www.cisco.com/en/US/docs/security/pix/pix70/release/notes/pix708rn.html CSCsl66758 Yes TCP intercept comes before ACL checks. All TCP ports appear open _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
