"filtered" port auf RS2000 ?

  • nmap:

    Code
    PORT      STATE    SERVICE
    80/tcp    open     http
    135/tcp   filtered msrpc
    137/tcp   filtered netbios-ns
    138/tcp   filtered netbios-dgm
    139/tcp   filtered netbios-ssn
    179/tcp   filtered bgp
    443/tcp   open     https
    445/tcp   filtered microsoft-ds
    5355/tcp  filtered llmnr

    Neben den beiden erwartetetn offenen Ports 80+443 finden sich weitere im Status "filtered".

    Woher kommen diese ?

    OS: Arch Linux

    Bei meinem Heimserver sehe ich diese Ports nicht.


    Vielen Dank!

  • ein lokal ausgeführtes netstat ergibt:

    Code
    $ sudo netstat -tulpen | egrep '135|137|138|139|179|445|5355'
    tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      195        4066       315/systemd-resolve 
    tcp6       0      0 :::5355                 :::*                    LISTEN      195        4069       315/systemd-resolve 
    udp     2304      0 0.0.0.0:5355            0.0.0.0:*                           195        4065       315/systemd-resolve 
    udp6    2304      0 :::5355                 :::*                                195        4068       315/systemd-resolve

    d.h. 5355 gehört zu systemd-resolve.

    Die anderen Ports sind aber intern nicht sichtbar. FYI: der nmap Scan war von außen auf den RS2000 geführt.

    Mein Heimserver hatte ich intern zum Vergleich vom Desktop gescannt, da er dhcpcd nutzt tauchte 5355 nicht auf.


    --> Die Frage bleibt, was ist mit den restlichen Ports auf dem RS2000 ?


    @alhazred: dir Unterschied zwischen den verschiedenen Port Stati ist mit geläufig. Wenn allerdings kein mir bekannter Dienst auf dem Port arbeitet, und ich keine Einträge in der iptables dazu habe, dürfte er nicht mit filtered bei einem Scan rauskommen.

  • Warum dürfte da nicht filtered bei tcp rauskommen? Gerade bei TCP bedeutet das ja, das man keine Antwort erhalten hat. Außerdem, was fällt einen bei den Ports auf? Das sind alles MS Ports for smb/cifs/AD. Es kann vielleicht auch sein (was nur eine Vermutung ist, WonnaCry usw. könnte der Grund sein) dass Anfragen an diese Ports vielleicht generell gedropt werden (dies müsste NC beantworten oder man testet es einfach mit ncat und telnet aus).

    Bei dir im Heimnetz hast du keine X Router/Firewalls/IPS/IDS (und was man noch alles dazwischenhängen kann) vor deinen Server.