Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    nmap zeigt closed Ports am WAN - wie kommt das zustande?

    Scheduled Pinned Locked Moved Deutsch
    13 Posts 4 Posters 898 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slu
      last edited by slu

      Hi,

      mir ist bei einem Scan unserer beiden WAN Anschlüsse mit nmap aufgefallen das 5060 und 5061 "closed" sind.

      Not shown: 996 filtered ports
PORT     STATE  SERVICE
443/tcp  open   https
5060/tcp closed sip
5061/tcp closed sip-tls

      Es gibt keine NAT Rule und keine Firewall Rule mit diesen Ports. Wir haben jedoch eine Asterisk im Netz, die macht aber nur 5061 und wird mit "qualify=yes" am leben erhalten.

      Führt das qualify=yes in Kombination der Asterisk zu dem "closed" Port?
      Warum ist dann aber auch noch der 5060 auf?
      Und warum auf beiden WAN Anschlüssen wenn die PBX immer nur über den einen Gateway geht?

      pfSense Gold subscription

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Frech zitiert aus der Manpage:

        Closed ports have no application listening on them, though they could open up at any time.

        Closed heißt closed. Die sind zu - nicht auf. Was bringt dich denn auf die Idee dass die auf sein sollen, wenn doch "ZU" da steht?

        Nach dem Scan ist bei dir nur 443/tcp von außen erreichbar.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          slu
          last edited by

          So ganz klar ist mir nicht warum 5060+5061 closed ist aber z.B. http/80 nicht als closed angezeigt wird.

          Diese Frage trifft es auf den Punkt:
          https://security.stackexchange.com/questions/182504/nmap-closed-vs-filtered

          Wenn ich das richtig verstehe kommt auf 5060+5061 ein RST, nur warum?

          pfSense Gold subscription

          1 Reply Last reply Reply Quote 0
          • RicoR
            Rico LAYER 8 Rebel Alliance
            last edited by

            Ohne zu wissen wie genau du gescannt hast lässt sich die Frage so oder so nicht beantworten.

            -Rico

            1 Reply Last reply Reply Quote 0
            • S
              slu
              last edited by

              Sorry, eigentlich wollte ich das mit in den ersten Beitrag schreiben und hab es vergessen:

              nmap FQDN
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-25 23:04 CET
Nmap scan report for FQDN (XXX.XX.XX.XXX)
Host is up (0.043s latency).
rDNS record for XXX.XX.XX.XXX: xxxxxxx.dip0.t-ipconnect.de
Not shown: 997 filtered ports
PORT     STATE  SERVICE
443/tcp  open   https
5060/tcp closed sip
5061/tcp closed sip-tls

Nmap done: 1 IP address (1 host up) scanned in 4.44 seconds

              Ich hab nmap nur mit der FQDN ohne extra Parameter aufgerufen.

              pfSense Gold subscription

              Bob.DigB 1 Reply Last reply Reply Quote 0
              • Bob.DigB
                Bob.Dig LAYER 8 @slu
                last edited by

                @slu Vielleicht UPnP?

                1 Reply Last reply Reply Quote 0
                • S
                  slu
                  last edited by

                  Kann ich ausschließen, zumindest ist es auf der pfSense komplett deaktiviert.

                  pfSense Gold subscription

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    War der nmap als root oder normaler User? Das ändert das Verhalten.

                    Für root ist der Default dann nmap -sS während es für normale User nmap -sT ist, sofern sich da in den Versionen nix getan hat. Das eine ist ein half-open scan, das andere ein TCP connect scan, die beide anders ablaufen und unterschiedliche Ergebnisse liefern können.

                    Zudem scannt man ohne zusätzliche Eingabe nur die Top 1000 Ports der NMAP Liste. Wenn also bestimmte Ports nicht auftauchen, dann kann das auch schlicht dran liegen, dass du sie nicht gescannt hast weil sie in der Liste nicht enthalten waren.

                    Zuletzt kommts auf den Scantyp (oben) an, was für Ergebnisse du hast, genauso wie auf dein Standardverhalten was die Firewall extern macht. Bei Block any wird keine Antwort geschickt. Kein Reset etc. Bei Reject schon. Die Antwort hängt also auch von deinen Regeln aufm WAN und den Diensten ab.

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    S 1 Reply Last reply Reply Quote 2
                    • S
                      slu @JeGr
                      last edited by

                      @JeGr said in nmap zeigt closed Ports am WAN - wie kommt das zustande?:

                      War der nmap als root oder normaler User? Das ändert das Verhalten.

                      Ich hab beide versucht und zusätzlich als root noch einmal mit der Option -sS und einmal mit -sT, das Ergebnis ist immer das selbe.

                      Zudem scannt man ohne zusätzliche Eingabe nur die Top 1000 Ports der NMAP Liste. Wenn also bestimmte Ports nicht auftauchen, dann kann das auch schlicht dran liegen, dass du sie nicht gescannt hast weil sie in der Liste nicht enthalten waren.

                      Das ist soweit klar und ein wichtiger Hinweis. Für mich unklar ist weshalb 5060/5061 "closed" sind, irgendwas muss ja das TCP Paket beantwortet haben.

                      Zuletzt kommts auf den Scantyp (oben) an, was für Ergebnisse du hast, genauso wie auf dein Standardverhalten was die Firewall extern macht. Bei Block any wird keine Antwort geschickt. Kein Reset etc. Bei Reject schon. Die Antwort hängt also auch von deinen Regeln aufm WAN und den Diensten ab.

                      Am WAN Interface gibt es keine Regel für 5060/5061.
                      Auf Block steht "RFC 1918 networks" und "Reserved Not assigned by IANA".

                      Was wir natürlich haben ist ein Asterisk der hinter der pfSense läuft, der muss ja irgendwie von außen erreichbar sein und hält damit die TCP Verbindung offen. Wäre das nicht die Erklärung warum das "closed" kommt?

                      Allerdings kann ich mir dann wieder nicht erklären weshalb ich das Verhalten auf beiden VDSL Anschlüssen habe (es ist ein Failover konfiguriert, der Asterisk sollte damit immer nur über die primäre Leitung raus gehen).

                      Wird für mich noch etwas spannend, würde der Sache aber gerne auf den Grund gehen.

                      pfSense Gold subscription

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        @slu said in nmap zeigt closed Ports am WAN - wie kommt das zustande?:

                        Das ist soweit klar und ein wichtiger Hinweis. Für mich unklar ist weshalb 5060/5061 "closed" sind, irgendwas muss ja das TCP Paket beantwortet haben.

                        Nein muss es nicht. Das ist genau das, was die NMAP Dokumentation sagt, dass es eben manche Dinge als false positive "vermutet" eben weil KEIN Paket zurückkommt. Normaler Host der ein Paket für einen closed Port bekommt - sendet Reset der Verbindung weil da gibbet nichts. Block any Regel -> sendet nichts. NMap vermutet weil NICHTS zurückkommt, dass der port gefiltert oder closed ist, weil nichts zurückkommt.

                        Aber völlig egal: ob filtered, closed oder gar nicht auftauchend - zu ist zu ;)

                        Was wir natürlich haben ist ein Asterisk der hinter der pfSense läuft, der muss ja irgendwie von außen erreichbar sein und hält damit die TCP Verbindung offen. Wäre das nicht die Erklärung warum das "closed" kommt?

                        Wenn dem so wäre, würde ich im Strahl kotzen. Das würde nämlich bedeuten, dass ein XY-Scanner von Timbuktu West laufend plötzlich weiß, dass bei mir ein VoIP Gerät SIP spricht, obwohl er KEINE Antwort bekommt. Wenn ihr auf dem WAN KEINE Portweiterleitung für 5060/5061 habt die von ANY aus frei ist, dann kann kein Gerät von außen einfach sagen "ach ja der Port ist offen, weil was von INNEN nach außen geht". Wenn dem so wäre könnten wir alle Firewalls einpacken. Das wäre Information Leakage hoch 9000. 😅
                        Der EINZIGE der sowas sagen kann, wäre dein ISP der DIREKT deine Leitung angrabbelt und via tcpdump o.ä. deinen abgehenden Traffic sieht. Aber wenn irgendeine Dubios-IP von außen einfach via nmap sagen könnte "ey da läuft SIP" schule ich auf Gartenbau um und geh Bäume fällen. ;)

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        S 1 Reply Last reply Reply Quote 1
                        • Bob.DigB
                          Bob.Dig LAYER 8
                          last edited by

                          Möglicherweise gibt es ja doch eine Freigabe, vielleicht unter NAT 1:1.

                          S 1 Reply Last reply Reply Quote 1
                          • S
                            slu @JeGr
                            last edited by

                            @JeGr said in nmap zeigt closed Ports am WAN - wie kommt das zustande?:

                            Nein muss es nicht. Das ist genau das, was die NMAP Dokumentation sagt, dass es eben manche Dinge als false positive "vermutet" eben weil KEIN Paket zurückkommt. Normaler Host der ein Paket für einen closed Port bekommt - sendet Reset der Verbindung weil da gibbet nichts. Block any Regel -> sendet nichts. NMap vermutet weil NICHTS zurückkommt, dass der port gefiltert oder closed ist, weil nichts zurückkommt.

                            Aber völlig egal: ob filtered, closed oder gar nicht auftauchend - zu ist zu ;)

                            Du trifft es auf den Punkt, jetzt ist der Knoten in meinem Kopf beseitigt ☺

                            Um jetzt noch ein schönes Ergebnis mit nmap zu bekommen gibt man einfach --open als Option mit 😇

                            pfSense Gold subscription

                            1 Reply Last reply Reply Quote 0
                            • S
                              slu @Bob.Dig
                              last edited by

                              @Bob-Dig said in nmap zeigt closed Ports am WAN - wie kommt das zustande?:

                              Möglicherweise gibt es ja doch eine Freigabe, vielleicht unter NAT 1:1.

                              Kann ich ausschließen, des Rätsels Lösung ist tatsächlich die Annahme von nmap das Ports geschlossen sind.

                              pfSense Gold subscription

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.