Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[geklärt] Nmap zeigt andere Ports als von firewalld als offen deklariert

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

[geklärt] Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von f.gruber » 13. Nov 2019, 11:45

Hallo,

scanne ich meinen Rechner mit nmap 10.0.0.60 auf offene Ports, so erhalte ich folgende Ausgabe:

Code: Alles auswählen

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
2049/tcp open  nfs
3306/tcp open  mysql
Egal, ob die Firewall läuft oder nicht läuft.

Die Konfiguration der Firewall zeigt etwas anderes an:

Code: Alles auswählen

firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client kdeconnect-kde
  ports: 5938/tcp 5938/udp 443/tcp
  protocols: tcp udp
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:


Wie gesagt, wenn ich die Firewall einschalte, ändert sich nichts an der Ausgabe von nmap (von einem anderen Rechner).

Ich habe überprüft, ob die Firewall tatsächlich läuft:

Code: Alles auswählen

systemctl status firewalld
   firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2019-11-13 11:03:24 CET; 25min ago
Sonderbar ist allerdings, dass folgender Befehl eine leere Ausgabe zeigt:

Code: Alles auswählen

firewall-cmd --get-active-zones
Das YAST Modul für die Firewall zeigt aber, dass der Schnittstelle eth0 die Zone public zugeordnet ist.

Liegt es etwa am NetworkManager, mit dem ich das Netzwerk an meinem Rechner konfiguriert habe, damit er schneller bootet? Werde jetzt einmal versuchsweise auf wicked als Netzwerk Service umstellen und dann posten, was es gebracht hat.

Nein, am NetworkManager liegt es nicht. Das Problem bleibt bestehen, egal ob ich das Netzwerk mit wicked oder mit dem NetworkManager verwalte.

Danke für jeden Denkanstoß.
Zuletzt geändert von f.gruber am 4. Dez 2019, 21:04, insgesamt 3-mal geändert.
Gruß
Ferdinand

Werbung:
Benutzeravatar
StephanS
Member
Member
Beiträge: 78
Registriert: 24. Jan 2005, 22:04

Re: Imap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von StephanS » 18. Nov 2019, 07:34

Laut (leerer) Ausgabe von firewalld-cmd ist deinem Interface keine Zone zugeordnet. Ich glaube, dass es dabei auf die Reihenfolge von Starten des firewalld und Aktivierung der Netzwerkinterfaces ankommt. Sieh dazu auch https://bugzilla.novell.com/show_bug.cgi?id=1120380.
Zuordnen der public-Zone geht mit

Code: Alles auswählen

firewall-cmd --zone=public --add-interface=eth0
Ich habe inzwischen /etc/systemd/system/wickedd.service geändert (siehe obigen Link) und mache das firewalld-cmd stündlich als Cronjob, weil es bei jedem Paket-Update wieder falsch herum gestartet wird.

Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

Re: Nmap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von f.gruber » 18. Nov 2019, 10:31

Habe jetzt einmal das Netzwerk Management auf wicked umgestellt.
Da sehe ich jedenfalls eine aktive Firewall Zone

Code: Alles auswählen

firewall-cmd --get-active-zones
public
  interfaces: eth0
Im Verzeichnis /etc/systemd/system ist bei mir ein Link zu /usr/lib/systemd/wicked.service

Code: Alles auswählen

network.service -> /usr/lib/systemd/system/wicked.service
Also denke ich, hat es keinen Sinn, wenn ich /usr/lib/systemd/system/wickedd.service nach /etc/systemd/system kopiere.
Sehe ich das richtig?

Ich habe versuchsweise - wie du oben beschrieben hast - in /usr/lib/systemd/system/wickedd.service folgende Zeile geändert:

Code: Alles auswählen

# After=local-fs.target dbus.service isdn.service rdma.service SuSEfirewall2_init.service
After=local-fs.target dbus.service isdn.service rdma.service firewalld.service
Da sich dadurch nichts geändert hat an den falsch angezeigten offenen Ports, habe ich das wieder rückgängig gemacht, weil es ja ohnehin beim nächsten Update überschrieben würde.

Ich habe den Eindruck, firewalld ist bei Suse noch eine Baustelle. Dass da immer noch was von SuSEfirewall2_init.service herumschwirrt, obwohl das schon längst deinstalliert ist, stärkt diese Vermutung ...
Gruß
Ferdinand

Benutzeravatar
StephanS
Member
Member
Beiträge: 78
Registriert: 24. Jan 2005, 22:04

Re: Nmap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von StephanS » 18. Nov 2019, 21:30

f.gruber hat geschrieben:
18. Nov 2019, 10:31
Also denke ich, hat es keinen Sinn, wenn ich /usr/lib/systemd/system/wickedd.service nach /etc/systemd/system kopiere.
Sehe ich das richtig?
...
Da sich dadurch nichts geändert hat an den falsch angezeigten offenen Ports, habe ich das wieder rückgängig gemacht, weil es ja ohnehin beim nächsten Update überschrieben würde.
Wenn du wickedd.service von /usr/lib/systemd/system nach /etc/systemd/system kopierst, hast du das Problem mit dem Überschreiben beim Update gerade nicht. Deshalb habe ich es so gemacht. Aber wenn es bei dir jetzt funktioniert, dann lass es so :D

Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

Re: Nmap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von f.gruber » 19. Nov 2019, 09:55

Wenn du wickedd.service von /usr/lib/systemd/system nach /etc/systemd/system kopierst, hast du das Problem mit dem Überschreiben beim Update gerade nicht.
Der Link in /etc/systemd/system

Code: Alles auswählen

network.service -> /usr/lib/systemd/system/wicked.service
zeigt auf /usr/lib/systemd/system/wicked.service.
In dieser Datei befinden sich Verweise auf wickedd.service:

Code: Alles auswählen

cat wicked.service 
[Unit]
Description=wicked managed network interfaces
Wants=network.target wickedd.service wickedd-nanny.service
After=network-pre.target wickedd.service wickedd-nanny.service
...
Daher glaube ich, dass es nichts bringt, /usr/lib/systemd/system/wickedd.service nach /etc/systemd/system zu kopieren, solange obiger Link existiert.
Aber wenn es bei dir jetzt funktioniert, dann lass es so :D
An meinem Problem hat sich nichts geändert: Nmap zeigt andere offene Ports an als in der Firewall definiert :???:
Gruß
Ferdinand

Benutzeravatar
StephanS
Member
Member
Beiträge: 78
Registriert: 24. Jan 2005, 22:04

Re: Nmap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von StephanS » 23. Nov 2019, 12:48

Du hast oben stehen:
f.gruber hat geschrieben:
13. Nov 2019, 11:45
...

Code: Alles auswählen

firewall-cmd --zone=public --list-all
public (active)
...
  protocols: tcp udp
  masquerade: no
...
Bei mir steht:

Code: Alles auswählen

  protocols: 
  masquerade: no
Kann es sein, dass du damit alle tcp- und udp-Ports erlaubst? Probier mal das zu entfernen.

Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

Re: Nmap zeigt andere Ports als in Firewall als offen deklariert

Beitrag von f.gruber » 24. Nov 2019, 19:22

StephanS hat geschrieben:
23. Nov 2019, 12:48
Du hast oben stehen:
f.gruber hat geschrieben:
13. Nov 2019, 11:45
...

Code: Alles auswählen

firewall-cmd --zone=public --list-all
public (active)
...
  protocols: tcp udp
  masquerade: no
...
Bei mir steht:

Code: Alles auswählen

  protocols: 
  masquerade: no
Kann es sein, dass du damit alle tcp- und udp-Ports erlaubst? Probier mal das zu entfernen.
Nein, daran liegt es nicht. Ich habe diese Zeile entfernt, es hat aber keinen Effekt auf das Problem.
Gruß
Ferdinand

spoensche
Moderator
Moderator
Beiträge: 7479
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von spoensche » 25. Nov 2019, 21:01

Poste mal die Ausgabe von

Code: Alles auswählen

iptables -L

Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

Re: Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von f.gruber » 26. Nov 2019, 10:56

Code: Alles auswählen

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             ctstate INVALID LOG level warning prefix "STATE_INVALID_DROP: "
DROP       all  --  anywhere             anywhere             ctstate INVALID
LOG        all  --  anywhere             anywhere             LOG level warning prefix "FINAL_REJECT: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
FORWARD_direct  all  --  anywhere             anywhere            
FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_IN_ZONES  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES_SOURACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEWCE  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             ctstate INVALID LOG level warning prefix "STATE_INVALID_DROP: "
DROP       all  --  anywhere             anywhere             ctstate INVALID
LOG        all  --  anywhere             anywhere             LOG level warning prefix "FINAL_REJECT: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
OUTPUT_direct  all  --  anywhere             anywhere            

Chain FORWARD_IN_ZONES (1 references)
target     prot opt source               destination         
FWDI_public  all  --  anywhere             anywhere            [goto] 
FWDI_public  all  --  anywherACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEWe             anywhere            [goto] 

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_OUT_ZONES (1 references)
target     prot opt source               destination         
FWDO_public  all  --  anywhere             anywhere            [goto] 
FWDO_public  all  --  anywhere             anywhere            [goto] 

Chain FORWARD_OUT_ZONESACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW_SOURCE (1nmap Rechnername references)
target     prot opt source               destination         

Chain FORWARD_direct (1 references)
target     prot opt source               destination         

Chain FWDI_public (2 references)
target     prot opt source               destination         
FWDI_public_log  all  --  anywhere             anywhere            
FWDI_public_deny  all  --  anywhere             anywhere            
FWDI_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW
Chain FWDI_public_allow (1 references)
target     prot opt source               destination         

Chain FWDI_public_deny (1 references)
target     prot opt source               destination         

Chain FWDI_public_log (1 references)
target     prot opt source               destination         

Chain FWDO_public (2 references)
target     prot opt source               destination         
FWDO_public_log  all  --  anywhere             anywhere            
FWDO_public_deny  all  --  aACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEWnywhere             anywhere            
FWDO_public_allow  all  --  anywhere             anywhere            

Chain FWDO_public_allow (1 references)
target     prot opt source               destination         

Chain FWDO_public_deny (1 references)
target     prot opt source               destination         

Chain FWDO_public_log (1 references)
target     prot opt source               destination         

Chain INPUT_ZONES (1 references)
target     prot opt source      ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW         destination         
IN_public  all  --  anywhere             anywhere            [goto] 
IN_public  all  --  anywhere             anywhere            [goto] 

Chain INPUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain INPUT_direct (1 references)
target     prot opt source               destination         

Chain IN_public (2 references)
target     prot opt source               destination         
IN_public_log  all  --  anywhere             anywhere            
IN_public_deny  all  --  anywACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEWhere             anywhere            
IN_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain IN_public_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
ACCEPT     udp  --  anywhereACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW             anywhere             ctstate NEW

Chain IN_public_deny (1 references)
target     prot opt source               destination         

Chain IN_public_log (1 references)
target     prot opt source               destination         

Chain OUTPUT_direct (1 references)
target     prot opt source               destination
Ganz unten sehe ich die Einträge, wie mit dem YAST firewall Modul gesetzt:

Code: Alles auswählen

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpts:sesi-lm:cft-3 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938 ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5938 ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https ctstate NEW
Warum aber zeigt in meinem LAN das Kommando

Code: Alles auswählen

nmap 10.0.0.60
ganz andere Ports, nämlich diese:

Code: Alles auswählen

nmap 10.0.0.60
Starting Nmap 7.70 ( https://nmap.org ) at 2019-11-26 10:34 CET
Nmap scan report for suserver (10.0.0.60)
Host is up (0.00025s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
2049/tcp open  nfs
3306/tcp open  mysql
MAC Address: 00:22:15:9F:53:AA (Asustek Computer)
Versthe ich da irgendetwas ganz falsch? :irre:
Gruß
Ferdinand

spoensche
Moderator
Moderator
Beiträge: 7479
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von spoensche » 27. Nov 2019, 00:04

In der iptables Chain Chain_IN_public_allow sorgt folgende Regel:

Code: Alles auswählen

ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
dafür, dass sämtlicher TCP Traffic akzeptiert wird. Daher liefert dir Nmap zu den explizit freigegebenen Ports auch noch die Ports für rpcbind, nfs und mysql in der Ausgabe.

Wenn du diese Regel löschst, dann sind in der Nmap Ausgabe auch nur die freigegebenen Ports vorhanden.

Arbeitet das System auch als Router? Wenn nein, dann sind sämtliche FORWARD Regeln überflüssig und können gelöscht werden.

Aus Sicherheitsgründen sollte die Default Policy der Standard Chains DROP sein und nicht ACCEPT.

Benutzeravatar
StephanS
Member
Member
Beiträge: 78
Registriert: 24. Jan 2005, 22:04

Re: Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von StephanS » 27. Nov 2019, 11:25

spoensche hat geschrieben:
27. Nov 2019, 00:04

Code: Alles auswählen

ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
Nachdem

Code: Alles auswählen

protocols: tcp udp
in firewalld entfernt wurde, hätte dieses ACCEPT doch weg sein sollen, oder nicht?

Benutzeravatar
f.gruber
Hacker
Hacker
Beiträge: 465
Registriert: 24. Jun 2006, 19:40
Wohnort: Bad Schallerbach

Re: Nmap zeigt andere Ports als von firewalld als offen deklariert

Beitrag von f.gruber » 4. Dez 2019, 21:03

spoensche hat geschrieben:
27. Nov 2019, 00:04
In der iptables Chain Chain_IN_public_allow sorgt folgende Regel:

Code: Alles auswählen

ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
dafür, dass sämtlicher TCP Traffic akzeptiert wird.
Woher kommt so eine Regel wohl?
Mit dieser Regel wird ja die Firewall mehr oder weniger deaktiviert, sehe ich das richtig.
Aus Sicherheitsgründen sollte die Default Policy der Standard Chains DROP sein und nicht ACCEPT.
Ich habe da jetzt nichts mehr geändert. Der Rechner befindet sich ja hinter einem Router, also ist die Firewall ja nicht wirklich notwendig.
Mich hat nur dieser geschilderte Widerspruch interessiert bzw. irritiert.

Vielen Dank für die Hinweise.

Ich habe die FORWARD Regeln gelöscht:

Code: Alles auswählen

iptables -F FORWARD_IN_ZONES
iptables -F FORWARD_IN_ZONES_SOURCE
iptables -F FORWARD_OUT_ZONES
iptables -F FORWARD_OUT_ZONES_SOURCE
iptables -F FORWARD_direct
Dann habe ich noch die letzte (7.) Regel der CHAIN
Chain_IN_public_allow entfernt

Code: Alles auswählen

iptables -D IN_public_allow 7
Nun entspricht die Ausgabe von nmap schon mehr dem, was zu erwarten ist:

Code: Alles auswählen

Nmap scan report
PORT     STATE  SERVICE
22/tcp   open   ssh
1717/tcp closed fj-hdnet
1718/tcp closed h323gatedisc
1719/tcp closed h323gatestat
1720/tcp closed h323q931
1721/tcp closed caicci
1723/tcp closed pptp
1755/tcp closed wms
1761/tcp closed landesk-rc
Damit gebe ich mich zunächst einmal zufrieden.
Wirklich blicke ich ohnehin nicht durch :roll:
Gruß
Ferdinand

Antworten