nmap zeigt closed Ports am WAN - wie kommt das zustande?



  • Hi,

    mir ist bei einem Scan unserer beiden WAN Anschlüsse mit nmap aufgefallen das 5060 und 5061 "closed" sind.

    Not shown: 996 filtered ports
    PORT     STATE  SERVICE
    443/tcp  open   https
    5060/tcp closed sip
    5061/tcp closed sip-tls
    

    Es gibt keine NAT Rule und keine Firewall Rule mit diesen Ports. Wir haben jedoch eine Asterisk im Netz, die macht aber nur 5061 und wird mit "qualify=yes" am leben erhalten.

    Führt das qualify=yes in Kombination der Asterisk zu dem "closed" Port?
    Warum ist dann aber auch noch der 5060 auf?
    Und warum auf beiden WAN Anschlüssen wenn die PBX immer nur über den einen Gateway geht?


  • LAYER 8 Moderator

    Frech zitiert aus der Manpage:

    Closed ports have no application listening on them, though they could open up at any time.
    

    Closed heißt closed. Die sind zu - nicht auf. Was bringt dich denn auf die Idee dass die auf sein sollen, wenn doch "ZU" da steht?

    Nach dem Scan ist bei dir nur 443/tcp von außen erreichbar.



  • So ganz klar ist mir nicht warum 5060+5061 closed ist aber z.B. http/80 nicht als closed angezeigt wird.

    Diese Frage trifft es auf den Punkt:
    https://security.stackexchange.com/questions/182504/nmap-closed-vs-filtered

    Wenn ich das richtig verstehe kommt auf 5060+5061 ein RST, nur warum?


  • LAYER 8 Rebel Alliance

    Ohne zu wissen wie genau du gescannt hast lässt sich die Frage so oder so nicht beantworten.

    -Rico



  • Sorry, eigentlich wollte ich das mit in den ersten Beitrag schreiben und hab es vergessen:

    nmap FQDN
    Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-25 23:04 CET
    Nmap scan report for FQDN (XXX.XX.XX.XXX)
    Host is up (0.043s latency).
    rDNS record for XXX.XX.XX.XXX: xxxxxxx.dip0.t-ipconnect.de
    Not shown: 997 filtered ports
    PORT     STATE  SERVICE
    443/tcp  open   https
    5060/tcp closed sip
    5061/tcp closed sip-tls
    
    Nmap done: 1 IP address (1 host up) scanned in 4.44 seconds
    

    Ich hab nmap nur mit der FQDN ohne extra Parameter aufgerufen.



  • @slu Vielleicht UPnP?



  • Kann ich ausschließen, zumindest ist es auf der pfSense komplett deaktiviert.


Log in to reply