2012/9/5 Mircea Vutcovici <[email protected]> > [...] > > Nu e nevoie sa binuiesti nimic. Daca portul e inchis, dar firewallul > deschis, stiva TCP/IP va raspunde cu ICMP port unreachable. Deobicei > firewalurile fac DROP iar scannerul va face un timeout. >
Um, technically, no. Daca portul e deschis din firewall dar nu exista nici un proces bind-uit pe el (aka "closed" in terminologia nmap), stiva TCP/IP va genera un pachet RST ca raspuns la SYN-ul primit. Incercarile de conectare (telnet <host> <portul_respectiv>) vor da "connection refused" Pentru ca sa se ajunga aici (la stiva TCP/IP din kernel), firewallul trebuie sa permita conexiunea. (firewall = stiva netfilter din kernel) Daca netfilter NU permite conexiunea, o poate face in mai multe feluri: - prin generarea unui ICMP rejected, unreachable, admin-prohibited etc (astea se obtin cu REJECT) -- aici scannerul il va arata "blocked" or smth, iar incercarile de conectare vor da "no route to host" imediat - silently (cu DROP) -- aici nmap il va arata "filtered" iar incercarile de conectare vor da timeout. FWIW, cele de mai sus se aplica la TCP. Despre UDP nu cunosc mare lucru. -- flo.ro _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
