Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
offene/geschlossene Ports einsehen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
sonicnl
Gast





BeitragVerfasst am: 05. Feb 2002 11:21   Titel: offene/geschlossene Ports einsehen

TACH allesamt,
ich habe follgendes Problem, und zwar will ich meine offenen bzw. geschlossenen Ports einsehen, könnt ihr mir helfen.

THX sonicNl
 

Jochen
Gast





BeitragVerfasst am: 05. Feb 2002 12:53   Titel: Re: offene/geschlossene Ports einsehen

Das Kommando dazu ist nmap, im gleichlautenden rpm vorhanden oder mittels "apt-get install nmap" zu installieren, falls noch nicht vorhanden. Nicht vor der Manual Page erschrecken, die ist etwas länger... Einfachste Anwendung:

nmap localhost
nmap ip-adresse

Jochen
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 05. Feb 2002 18:00   Titel: Re: offene/geschlossene Ports einsehen

@sonicnl
http://www.lfd.niedersachsen.de/ zeigt dir die die Ports auf deinem Rechner, auf dem Dienste für Internetuser angeboten werden.

@Jochen
Damit sieht man keineswegs die offenen oder geschlossenen Ports.
Warum mit Kanonen nach Spatzen schiessen (ist zwar Mode, muss man aber nicht unbedingt machen )?
Das selbe Ergebnis würdest du auch mit netstat erhalten.

@all
Eigentlich gibt es ja keine "geschlossenen" Ports. Entweder es läuft ein Dienst, oder es läuft keiner.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)


Zuletzt bearbeitet von trinity am 05. Feb 2002 18:00, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 05. Feb 2002 19:30   Titel: Re: offene/geschlossene Ports einsehen

@Lutz:
> Damit sieht man keineswegs die offenen oder geschlossenen Ports.
Stimmt, nur die offenen! Oder hab' ich da was nicht verstanden?

>Das selbe Ergebnis würdest du auch mit netstat erhalten.
Also netstat zeigt bei mir nur die aktiven Verbindungen an.

@sonicnl:
Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte, ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden Diensten und dem, was die Firewall davon übrig lässt, erkennen.
Es gibt auch ein einfach-bedienbares Frontend dazu, das heisst nmapfe oder Xnmap.
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 05. Feb 2002 20:01   Titel: Re: offene/geschlossene Ports einsehen

@YtimK
>> Damit sieht man keineswegs die offenen oder geschlossenen Ports.
>Stimmt, nur die offenen! Oder hab' ich da was nicht verstanden?
1. Ja man sieht eben nur die (lokal) "listen-Daemons", und dafür verwendet man netstat.
2. kommt diese Frage meist dann, wenn die Leute irgendwelche Filterregeln eingestellt haben und dann ihr System testen wollen. Problem dabei ist nur, dass das System ja für interne Anfragen andere Regeln hat, als für externe. Deswegen _muss_ dieser Ansatz scheitern.

>Also netstat zeigt bei mir nur die aktiven Verbindungen an.
Also das gleiche, wie ein nmap auf dein System

>Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte,
>ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden
>Diensten und dem, was die Firewall davon übrig lässt, erkennen.
Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 05. Feb 2002 22:08   Titel: Re: offene/geschlossene Ports einsehen

hhmm...
Was netstat betrifft, muss ich mich wohl geschlagen geben! Mit der Option -l werden bei mir auch _alle_ offenen Ports angezeigt.

Was ich aber immer noch nicht verstanden habe:
Wenn das alles über's lokale Device abgehandelt wird (was ja auch logisch ist ), warum bringt nmap unterschiedliche Ergebnisse, wenn ich 127.0.0.1 und 192.168.1.2 scanne? (Bei 1082 gescannten Ports einmal 4 und einmal nur 2 offen)
 
Benutzer-Profile anzeigen Private Nachricht senden

Jochen
Gast





BeitragVerfasst am: 06. Feb 2002 12:36   Titel: Re: offene/geschlossene Ports einsehen

@Lutz:

OK, "netstat -l" zeigt dir die Ports, an denen ein Prozess lauscht. Ob dieser Port dann erreichbar ist, ist eine andere Frage, da ja Anfragen von aussen vor Aufschlagen am Port noch an der Firewall hängen bleiben können. So weit sollten wir uns einig sein, wenn ich Dich nicht irgendwo missverstanden habe.

netstat gibt zwar auch aus, an welche IP-Adressen sich die Prozesse gebunden haben. Wenn ich aber explizit sehen möchte, was an einer spezifischen IP-Adresse an Ports offen ist, habe ich schneller mit nmap einen Überblick. Ist Geschmackssache, vielleicht sogar Overkill, aber warum soll ich es mir schwieriger machen, wenn der Rechner die Arbeit für mich übernehmen kann?

> kommt diese Frage meist dann, wenn die Leute irgendwelche Filterregeln eingestellt haben <snip> . Deswegen _muss_ dieser Ansatz scheitern.

Kommt ganz darauf an. Wenn Du ein "nmap meine-externe-ip" machst, ist auch die Source-Adress "meine-externe-ip" und kann Regeln triggern - auch wenn dabei nichts übers Kabel fluppt. Je nachdem, ob man die eigene externe IP logisch zum eigenen Netz zählt (ist einem Rechner unter meiner Ägide zugewiesen) oder nicht (über die IP ist der Rechner Bestandteil eines nicht vertrauenswürdigen Netzes), kann man die Regeln entsprechend eng definiert haben. Deswegen muss der Ansatz also nicht scheitern, macht aber in manchen Fällen was anderes als erwartet.

>> Ich würde mit nmap nicht (nur) den localhost, sondern auch die IP-Adresse auf der Netzwerkkarte,
>> ISDN-Karte, oder was weiss ich, scannen, dann kannst du schön den Unterschied zwischen den laufenden
>> Diensten und dem, was die Firewall davon übrig lässt, erkennen.
> Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device > abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.

Falsch. Um ein Device zu verwenden, schickt man IP-Pakete über die entsprechende IP-Adresse (die dem Device mittels ifconfig (oder wie auch immer)) zugewiesen wurde. Wenn Du eine deine eigene externe IP-Adresse nmapst, geht das Paket daher an den Kartentreiber. Der schickt das Paket natürlich nicht übers Kabel (und insofern ist "lokal" richtig), um es selber zu empfangen, aber es ist für ihn ein eingehendes Paket mit externer IP-Adresse - seiner eigenen. Und damit gilt wieder der obige Absatz von mir.

@YtimK:
Entweder ist es der o.a. Fall, oder Du hast Prozesse, die sich explizit nur an eine spezielle statt an alle verfügbaren IP-Adressen binden. So kann man beispielsweise bind oder sshd nur in Richtung internes Netz lauschen lassen statt an allen Interfaces inkl. der weniger vertruenswürdigen.

Jochen

Jochen
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 06. Feb 2002 14:14   Titel: Re: offene/geschlossene Ports einsehen

Ich glaub', jetzt hab' ich's verstanden!

THX,
YtimK
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 07. Feb 2002 11:31   Titel: Re: offene/geschlossene Ports einsehen

@Jochen:
Das verspricht interessant zu werden


OK, "netstat -l" zeigt dir die Ports, an denen ein Prozess lauscht. Ob dieser Port dann erreichbar ist, ist eine andere Frage, da ja Anfragen von aussen vor Aufschlagen am Port noch an der Firewall hängen bleiben können.

ACK.


Ist Geschmackssache, vielleicht sogar Overkill, aber warum soll ich es mir schwieriger machen, wenn der Rechner die Arbeit für mich übernehmen kann?

Geschmackssache und IMHO Overkill (aber das hatte ich ja gesagt:Geschmackssache ). Aber es verleitet auch dazu, auf seinem Server einen nmap einzusetzen und das ist IMHO "böse". Bei Standard installationen wird AFAIK nmap nicht mitinstalliert, trotzdem kommt bei Frgaen wie z. B.: Welche Piorts sind bei mir offen" als Tipp: "nmap dein System" (das ist auch noch mehr Arbeit als notwendig). Was arbeitsverlagerung auf die Seite des computers angeht bin ich aber voll deiner Meinung.


Wenn Du ein "nmap meine-externe-ip" machst, ist auch die Source-Adress "meine-externe-ip" und kann Regeln triggern - auch wenn dabei nichts übers Kabel fluppt. Je nachdem, ob man die eigene externe IP logisch zum eigenen Netz zählt (ist einem Rechner unter meiner Ägide zugewiesen) oder nicht (über die IP ist der Rechner Bestandteil eines nicht vertrauenswürdigen Netzes), kann man die Regeln entsprechend eng definiert haben. Deswegen muss der Ansatz also nicht scheitern, macht aber in manchen Fällen was anderes als erwartet.

Also es geht hier immer noch um den Scan des eigenen Rechners hoffe ich. Natürlich muss dieser Ansatz nicht scheitern, wenn jemand seine Filterregeln so eng gesetzt hat, dass er den Computer sogar in der eigenen Kommunikation (nicht Kommunikation mit anderen, sonder interne Kommunikation) beschränkt, _dann_ ergibt es tatsächlich das gleiche Ergebnis. Da das aber eigentlich nie der Fall ist (habe zumindest noch kein so "übles" Firewall Script gesehen.
Bitte überstze mir mal Ägide (hab zwar so ne Vorstellung, ...).


> Nein, kann er nicht. Alle diese sinnlosen "Tests" werden über das lokale Device > abgehandelt. Deswegen wird er nie ein brauchbares Resultat durch diesen Test erhalten.

Falsch. Um ein Device zu verwenden, schickt man IP-Pakete über die entsprechende IP-Adresse (die dem Device mittels ifconfig (oder wie auch immer)) zugewiesen wurde. Wenn Du eine deine eigene externe IP-Adresse nmapst, geht das Paket daher an den Kartentreiber. Der schickt das Paket natürlich nicht übers Kabel (und insofern ist "lokal" richtig), um es selber zu empfangen, aber es ist für ihn ein eingehendes Paket mit externer IP-Adresse - seiner eigenen. Und damit gilt wieder der obige Absatz von mir.
Dein falsch ist falsch
Dein Packet geht keineswegs über den Kartentreiber (würde mich interessieren, woher du diese Information hast). Sobald du einen Ping, oder nmap auf die eigene IP loslässt z. B. nmap 192.168.0.1, wird natürlich ein Packet mit s=192.168.0.1 und d=192.168.0.1 losgschickt. Allerdings nicht über dein Device ethx, sondern über lo (ist ja auch sinnig, warum über den Kartentreiber gehen, wenn du den eigenen Rechner ensprichst). Das kannst du sogar ganz einfach testen:
iptables -I INPUT -j LOG
nmap localhost
Damit siehst du auch, warum ich der Überzeugung bin, dass es _nie_ das gewünschte Ergebnis produzieren wird.
Denn das Device lo (über den deine Packete abgewickelt werden) ist sinnigerweise immer freigeschaltet.
Bei Kernel 2.2 kann es sich etwas anderst verhalten, da dort die Filterketten "unlogisch" angeordnet sind (nämlich hintereinander). Damit kann es sein, dass bei schlechten Scripts die Loopback Freigabe zu weit hinten steht, ..

@Jochen/YtimK/all

So kann man beispielsweise bind oder sshd nur in Richtung internes Netz lauschen lassen statt an allen Interfaces inkl. der weniger vertruenswürdigen.

Ist zudem sinnvoll, erspart einem einige FW Regeln bzw. ist dabei behilflich völlig (naja vielleicht 2 gegen Spoofed-Packete )) ohne FW auszukommen
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Jochen
Gast





BeitragVerfasst am: 08. Feb 2002 10:04   Titel: Re: offene/geschlossene Ports einsehen

Lutz, da wir uns nun unserer unterschiedlichen Geschmäcker einig sind, können wir uns diese Punkte ja jetzt schenken.

Langenscheidt ( http://www.langenscheidt.aol.de/ ) meint zum Thema "Ägide":

Ägide: die; -, kMz. Obhut, Leitung, Schirmherrschaft, Schutz


Ansonsten dreht es sich ganz klar um das Scannen des eigenen Rechners.


Dein falsch ist falsch


Jau, Du hast recht. Ein "nmap localhost" (oder ping oder wasauchimmer) muss ja über das Loopback-Device gehen, aber auch bei einem Ping auf die eigene externe IP loggert der Kernel die Pakete ebenfalls mit "IN=lo" mit. Grummel.... Wie habe ich mich da so vertun können? Erstmal Danke für den Hinweis, und ein Sorry an alle anderen wegen der von mir verbreiteten Fehlinformation. Ich tippe mal, dass das ein Überbleibsel aus meinen SCO OpenServer-Tagen war.

Tja, man lernt nie aus...

Jochen
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 08. Feb 2002 16:43   Titel: Re: offene/geschlossene Ports einsehen

Freut mich, dass ich helfen konnte.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy