offene/geschlossene Ports einsehen

Post Reply
Message
Author
sonicnl

offene/geschlossene Ports einsehen

#1 Post by sonicnl »

TACH allesamt,
ich habe follgendes Problem, und zwar will ich meine offenen bzw. geschlossenen Ports einsehen, könnt ihr mir helfen.

THX sonicNl

Jochen

Re: offene/geschlossene Ports einsehen

#2 Post by Jochen »

Das Kommando dazu ist nmap, im gleichlautenden rpm vorhanden oder mittels "apt-get install nmap" zu installieren, falls noch nicht vorhanden. Nicht vor der Manual Page erschrecken, die ist etwas länger... Einfachste Anwendung:

nmap localhost
nmap <i>ip-adresse</i>

Jochen

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: offene/geschlossene Ports einsehen

#3 Post by trinity »

@sonicnl
<a href="http://www.lfd.niedersachsen.de/" target="_blank"><!--auto-->http://www.lfd.niedersachsen.de/</a><!--auto--> zeigt dir die die Ports auf deinem Rechner, auf dem Dienste für Internetuser angeboten werden.

@Jochen
Damit sieht man keineswegs die offenen oder geschlossenen Ports.
Warum mit Kanonen nach Spatzen schiessen (ist zwar Mode, muss man aber nicht unbedingt machen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">)?
Das selbe Ergebnis würdest du auch mit netstat erhalten.

@all
Eigentlich gibt es ja keine "geschlossenen" Ports. Entweder es läuft ein Dienst, oder es läuft keiner.
Last edited by trinity on 05. Feb 2002 18:00, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: offene/geschlossene Ports einsehen

#4 Post by ytimk »

@Lutz:
> Damit sieht man keineswegs die offenen oder geschlossenen Ports.
Stimmt, nur die offenen! <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> Oder hab' ich da was nicht verstanden?

>Das selbe Ergebnis würdest du auch mit netstat erhalten.
Also netstat zeigt bei mir nur die aktiven Verbindungen an.

@sonicnl:
Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte, ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden Diensten und dem, was die Firewall davon übrig lässt, erkennen.
Es gibt auch ein einfach-bedienbares Frontend dazu, das heisst nmapfe oder Xnmap.

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: offene/geschlossene Ports einsehen

#5 Post by trinity »

@YtimK
>> Damit sieht man keineswegs die offenen oder geschlossenen Ports.
>Stimmt, nur die offenen! Oder hab' ich da was nicht verstanden?
1. Ja man sieht eben nur die (lokal) "listen-Daemons", und dafür verwendet man netstat.
2. kommt diese Frage meist dann, wenn die Leute irgendwelche Filterregeln eingestellt haben und dann ihr System testen wollen. Problem dabei ist nur, dass das System ja für interne Anfragen andere Regeln hat, als für externe. Deswegen _muss_ dieser Ansatz scheitern.

>Also netstat zeigt bei mir nur die aktiven Verbindungen an.
Also das gleiche, wie ein nmap auf dein System <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

>Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte,
>ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden
>Diensten und dem, was die Firewall davon übrig lässt, erkennen.
Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: offene/geschlossene Ports einsehen

#6 Post by ytimk »

hhmm...
Was netstat betrifft, muss ich mich wohl geschlagen geben! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Mit der Option -l werden bei mir auch _alle_ offenen Ports angezeigt.

Was ich aber immer noch nicht verstanden habe:
Wenn das alles über's lokale Device abgehandelt wird (was ja auch logisch ist <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">), warum bringt nmap unterschiedliche Ergebnisse, wenn ich 127.0.0.1 und 192.168.1.2 scanne? (Bei 1082 gescannten Ports einmal 4 und einmal nur 2 offen)

Jochen

Re: offene/geschlossene Ports einsehen

#7 Post by Jochen »

@Lutz:

OK, "netstat -l" zeigt dir die Ports, an denen ein Prozess lauscht. Ob dieser Port dann erreichbar ist, ist eine andere Frage, da ja Anfragen von aussen vor Aufschlagen am Port noch an der Firewall hängen bleiben können. So weit sollten wir uns einig sein, wenn ich Dich nicht irgendwo missverstanden habe.

netstat gibt zwar auch aus, an welche IP-Adressen sich die Prozesse gebunden haben. Wenn ich aber explizit sehen möchte, was an einer spezifischen IP-Adresse an Ports offen ist, habe ich schneller mit nmap einen Überblick. Ist Geschmackssache, vielleicht sogar Overkill, aber warum soll ich es mir schwieriger machen, wenn der Rechner die Arbeit für mich übernehmen kann?

> kommt diese Frage meist dann, wenn die Leute irgendwelche Filterregeln eingestellt haben <i><snip></i> . Deswegen _muss_ dieser Ansatz scheitern.

Kommt ganz darauf an. Wenn Du ein "nmap meine-externe-ip" machst, ist auch die Source-Adress "meine-externe-ip" und kann Regeln triggern - auch wenn dabei nichts übers Kabel fluppt. Je nachdem, ob man die eigene externe IP logisch zum eigenen Netz zählt (ist einem Rechner unter meiner Ägide zugewiesen) oder nicht (über die IP ist der Rechner Bestandteil eines nicht vertrauenswürdigen Netzes), kann man die Regeln entsprechend eng definiert haben. Deswegen muss der Ansatz also nicht scheitern, macht aber in manchen Fällen was anderes als erwartet.

>> Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte,
>> ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden
>> Diensten und dem, was die Firewall davon übrig lässt, erkennen.
> Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device > abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.

Falsch. Um ein Device zu verwenden, schickt man IP-Pakete über die entsprechende IP-Adresse (die dem Device mittels ifconfig (oder wie auch immer)) zugewiesen wurde. Wenn Du eine deine eigene externe IP-Adresse nmapst, geht das Paket daher an den Kartentreiber. Der schickt das Paket natürlich nicht übers Kabel (und insofern ist "lokal" richtig), um es selber zu empfangen, aber es ist für ihn ein eingehendes Paket mit externer IP-Adresse - seiner eigenen. Und damit gilt wieder der obige Absatz von mir.

@YtimK:
Entweder ist es der o.a. Fall, oder Du hast Prozesse, die sich explizit nur an eine spezielle statt an alle verfügbaren IP-Adressen binden. So kann man beispielsweise bind oder sshd nur in Richtung internes Netz lauschen lassen statt an allen Interfaces inkl. der weniger vertruenswürdigen.

Jochen

Jochen

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: offene/geschlossene Ports einsehen

#8 Post by ytimk »

Ich glaub', jetzt hab' ich's verstanden! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

THX,
YtimK

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: offene/geschlossene Ports einsehen

#9 Post by trinity »

@Jochen:
Das verspricht interessant zu werden
<blockquote><hr>
OK, "netstat -l" zeigt dir die Ports, an denen ein Prozess lauscht. Ob dieser Port dann erreichbar ist, ist eine andere Frage, da ja Anfragen von aussen vor Aufschlagen am Port noch an der Firewall hängen bleiben können.<hr></blockquote>
ACK.

<blockquote><hr>Ist Geschmackssache, vielleicht sogar Overkill, aber warum soll ich es mir schwieriger machen, wenn der Rechner die Arbeit für mich übernehmen kann?<hr></blockquote>
Geschmackssache und IMHO Overkill (aber das hatte ich ja gesagt:Geschmackssache <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">). Aber es verleitet auch dazu, auf seinem Server einen nmap einzusetzen und das ist IMHO "böse". Bei Standard installationen wird AFAIK nmap nicht mitinstalliert, trotzdem kommt bei Frgaen wie z. B.: Welche Piorts sind bei mir offen" als Tipp: "nmap dein System" (das ist auch noch mehr Arbeit als notwendig). Was arbeitsverlagerung auf die Seite des computers angeht bin ich aber voll deiner Meinung.

<blockquote><hr>Wenn Du ein "nmap meine-externe-ip" machst, ist auch die Source-Adress "meine-externe-ip" und kann Regeln triggern - auch wenn dabei nichts übers Kabel fluppt. Je nachdem, ob man die eigene externe IP logisch zum eigenen Netz zählt (ist einem Rechner unter meiner Ägide zugewiesen) oder nicht (über die IP ist der Rechner Bestandteil eines nicht vertrauenswürdigen Netzes), kann man die Regeln entsprechend eng definiert haben. Deswegen muss der Ansatz also nicht scheitern, macht aber in manchen Fällen was anderes als erwartet.<hr></blockquote>
Also es geht hier immer noch um den Scan des eigenen Rechners hoffe ich. Natürlich muss dieser Ansatz nicht scheitern, wenn jemand seine Filterregeln so eng gesetzt hat, dass er den Computer sogar in der eigenen Kommunikation (nicht Kommunikation mit anderen, sonder interne Kommunikation) beschränkt, _dann_ ergibt es tatsächlich das gleiche Ergebnis. Da das aber eigentlich nie der Fall ist (habe zumindest noch kein so "übles" Firewall Script gesehen.
Bitte überstze mir mal Ägide (hab zwar so ne Vorstellung, ...).

<blockquote><hr>> Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device > abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.

Falsch. Um ein Device zu verwenden, schickt man IP-Pakete über die entsprechende IP-Adresse (die dem Device mittels ifconfig (oder wie auch immer)) zugewiesen wurde. Wenn Du eine deine eigene externe IP-Adresse nmapst, geht das Paket daher an den Kartentreiber. Der schickt das Paket natürlich nicht übers Kabel (und insofern ist "lokal" richtig), um es selber zu empfangen, aber es ist für ihn ein eingehendes Paket mit externer IP-Adresse - seiner eigenen. Und damit gilt wieder der obige Absatz von mir.<hr></blockquote>Dein falsch ist falsch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Dein Packet geht keineswegs über den Kartentreiber (würde mich interessieren, woher du diese Information hast). Sobald du einen Ping, oder nmap auf die eigene IP loslässt z. B. nmap 192.168.0.1, wird natürlich ein Packet mit s=192.168.0.1 und d=192.168.0.1 losgschickt. Allerdings nicht über dein Device ethx, sondern über lo (ist ja auch sinnig, warum über den Kartentreiber gehen, wenn du den eigenen Rechner ensprichst). Das kannst du sogar ganz einfach testen:
iptables -I INPUT -j LOG
nmap localhost
Damit siehst du auch, warum ich der Überzeugung bin, dass es _nie_ das gewünschte Ergebnis produzieren wird.
Denn das Device lo (über den deine Packete abgewickelt werden) ist sinnigerweise immer freigeschaltet.
Bei Kernel 2.2 kann es sich etwas anderst verhalten, da dort die Filterketten "unlogisch" angeordnet sind (nämlich hintereinander). Damit kann es sein, dass bei schlechten Scripts die Loopback Freigabe zu weit hinten steht, ..

@Jochen/YtimK/all
<blockquote><hr>So kann man beispielsweise bind oder sshd nur in Richtung internes Netz lauschen lassen statt an allen Interfaces inkl. der weniger vertruenswürdigen.<hr></blockquote>
Ist zudem sinnvoll, erspart einem einige FW Regeln bzw. ist dabei behilflich völlig (naja vielleicht 2 gegen Spoofed-Packete <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">)) ohne FW auszukommen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

Jochen

Re: offene/geschlossene Ports einsehen

#10 Post by Jochen »

Lutz, da wir uns nun unserer unterschiedlichen Geschmäcker einig sind, können wir uns diese Punkte ja jetzt schenken.

Langenscheidt ( <a href="http://www.langenscheidt.aol.de/" target="_blank"><!--auto-->http://www.langenscheidt.aol.de/</a><!--auto--> ) meint zum Thema "Ägide":
<blockquote><hr>Ägide: die; -, kMz. Obhut, Leitung, Schirmherrschaft, Schutz<hr></blockquote>

Ansonsten dreht es sich ganz klar um das Scannen des eigenen Rechners.

<blockquote><hr>Dein falsch ist falsch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"><hr></blockquote>

Jau, Du hast recht. Ein "nmap localhost" (oder ping oder wasauchimmer) muss ja über das Loopback-Device gehen, aber auch bei einem Ping auf die eigene externe IP loggert der Kernel die Pakete ebenfalls mit "IN=lo" mit. Grummel.... Wie habe ich mich da so vertun können? <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> Erstmal Danke für den Hinweis, und ein Sorry an alle anderen wegen der von mir verbreiteten Fehlinformation. Ich tippe mal, dass das ein Überbleibsel aus meinen SCO OpenServer-Tagen war.

Tja, man lernt nie aus...

Jochen

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: offene/geschlossene Ports einsehen

#11 Post by trinity »

Freut mich, dass ich helfen konnte.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

Post Reply