Re: ipfw muckt (?)

From: Patric Mrawek <mrawek(at)punkt.de>
Date: Fri, 15 Mar 2002 09:54:05 +0100



Hi!



* universe <universe(at)truemetal.org> [020315 00:53]:



> 00101 deny udp from any to 10.0.0.9 135-139 in recv rl0



> nmap kanns kaum sein, der saint udp_scan liefert ebenfalls offene ports


> zurueck.


> 


> versteh ich nicht. was mach ich falsch?



Das liegt weder an ipfw noch an nmap. Die Ursache liegt im UDP Protokoll.


UDP kennt keine Timeouts.



Schickt ein Client ein UDP Packet an einen Server gibt es 3 Moeglichkeiten:



  1) es lauscht ein Server auf dem entsprechenden Port und antwortet auch


  2) es lauscht ein Server auf dem Port, er antwortet aber nicht (z.B.


  wegen irgendwelcher Zugangsrestriktionen)


  3) es lauscht kein Server auf dem angegeben Port



Ohne Firewallregeln unterscheiden sich 2) und 3) nur dadurch, dass 


bei 3) ein ICMP port unrech gesendet wird, wonach nmap den Port als


"closed" einstuft.



Haengen nun aber Firewallregeln dazwischen, so wird kein ICMP


generiert und nmap stuft den Port nach einer bestimmten Zeit ohne


ICMP-Antwort als offen ein.



HTH,


Patric



--
The UNIX Guru's View of Sex:
# unzip ; strip ; touch ; finger ; mount ; fsck ; more ; yes ; umount ; sleep
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 15 Mar 2002 - 09:54:08 CET













search this site