"filtered" port auf RS2000 ?

  • nmap:

    Code
    1. PORT STATE SERVICE
    2. 80/tcp open http
    3. 135/tcp filtered msrpc
    4. 137/tcp filtered netbios-ns
    5. 138/tcp filtered netbios-dgm
    6. 139/tcp filtered netbios-ssn
    7. 179/tcp filtered bgp
    8. 443/tcp open https
    9. 445/tcp filtered microsoft-ds
    10. 5355/tcp filtered llmnr

    Neben den beiden erwartetetn offenen Ports 80+443 finden sich weitere im Status "filtered".

    Woher kommen diese ?

    OS: Arch Linux

    Bei meinem Heimserver sehe ich diese Ports nicht.


    Vielen Dank!

  • ein lokal ausgeführtes netstat ergibt:

    Code
    1. $ sudo netstat -tulpen | egrep '135|137|138|139|179|445|5355'
    2. tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 195 4066 315/systemd-resolve
    3. tcp6 0 0 :::5355 :::* LISTEN 195 4069 315/systemd-resolve
    4. udp 2304 0 0.0.0.0:5355 0.0.0.0:* 195 4065 315/systemd-resolve
    5. udp6 2304 0 :::5355 :::* 195 4068 315/systemd-resolve

    d.h. 5355 gehört zu systemd-resolve.

    Die anderen Ports sind aber intern nicht sichtbar. FYI: der nmap Scan war von außen auf den RS2000 geführt.

    Mein Heimserver hatte ich intern zum Vergleich vom Desktop gescannt, da er dhcpcd nutzt tauchte 5355 nicht auf.


    --> Die Frage bleibt, was ist mit den restlichen Ports auf dem RS2000 ?


    @alhazred: dir Unterschied zwischen den verschiedenen Port Stati ist mit geläufig. Wenn allerdings kein mir bekannter Dienst auf dem Port arbeitet, und ich keine Einträge in der iptables dazu habe, dürfte er nicht mit filtered bei einem Scan rauskommen.

  • Warum dürfte da nicht filtered bei tcp rauskommen? Gerade bei TCP bedeutet das ja, das man keine Antwort erhalten hat. Außerdem, was fällt einen bei den Ports auf? Das sind alles MS Ports for smb/cifs/AD. Es kann vielleicht auch sein (was nur eine Vermutung ist, WonnaCry usw. könnte der Grund sein) dass Anfragen an diese Ports vielleicht generell gedropt werden (dies müsste NC beantworten oder man testet es einfach mit ncat und telnet aus).

    Bei dir im Heimnetz hast du keine X Router/Firewalls/IPS/IDS (und was man noch alles dazwischenhängen kann) vor deinen Server.