Le jeudi 18 septembre 2003, pascal a �crit...
bonjour,
> Le port semble bien ferm�. Le pb est ...d'o� vient que nmap le voit
> filtr�?...
> Depuis l'ext�rieur (je viens de recommencer � partir d'une debian
> testing) nmap le voit filtr� alors que depuis la machine, non ...
> Etrange...
Je ne suis pas un sp�cialiste mais le fait qu'il soit "filtered" para�t
normal si on en croit la page de man de nmap: un port est "filtered"
lorsque nmap ne sait pas mettre un diagnostic dessus. Or le 135 ne sert
� rien sous Linux, donc � priori il est ferm�.
Mais l� o� �a devient marrant c'est quand tu essaies des scans moins
ordinaires avec nmap, style -sF ou -sA. Tu te rends compte que le port
peut para�tre ouvert avec un scan sF si le parefeu filtre les fin scans:
il ne renvoie rien, donc le port est ouvert au sens du scan (puisque par
d�faut iptables droppe en silence). En revanche si tu fais un ack scan
sur le m�me port et que le parefeu ne filtre pas ces scans, la machine
renvoie RST et le port est 'UNfiltered'(c'est � dire ferm� et que nmap
n'a pas d�cel� de blocage lors du scan). Et si tu fais un scan syn sur ce
port ferm� tu recevras un RST ce qui est normal (sauf si le port est
filtr�) et le port appara�t 'closed'.
Lorsque tu fais un scan sur ta propre machine en local tu passes par lo,
et ce m�me si tu fais un scan sur ta propre ip. L� interviennent les
r�gles de ton parefeu qui peut filtrer sur lo, ou pas, (ou bien ne
filtrer que sur une iface, ce qui veut dire que les autres ne le sont
pas). Et donc si il y a filtre, nmap donnera un diagnostic en fonction de
ce qu'il recevra sur le type de scan qu'il a effectu�. "En fonction de",
c'est la le truc !
Bon, je ne sais pas si j'ai �t� assez clair, mais quelques manips avec
nmap et hping2 sur la machine m'ont permis de comprendre deux trois
bricoles.
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
