Тема: FirewallD centos (не показує відкриті порти)

nmap показує, що порти, які я добавив в правила зони, закриті

Чому???

Настройки зони такі

https://i.imgur.com/OgVXye9g.png

Але nmap показує ось це:

https://i.imgur.com/CvScPBdg.png

2 Востаннє редагувалося HetmanNet (10.07.2018 20:55:57)

Re: FirewallD centos (не показує відкриті порти)

misha.levytsky написав:

nmap показує, що порти, які я добавив в правила зони, закриті

Чому???

Настройки зони такі https://imgur.com/a/930Osnq

Але nmap показує ось це: https://imgur.com/a/tHtpjJL

nmap скануєте локалхост? тоді не дивно що не бачите..
Для прикладу я сканую реальну машину віддалено:

PORT     STATE SERVICE
22/tcp   open  ssh
3306/tcp open  mysql

Вона але сама себе:

PORT     STATE SERVICE
22/tcp   open  ssh
111/tcp  open  rpcbind
631/tcp  open  ipp
3306/tcp open  mysql

Аналогічно може бути навпаки, коли localhost показує немає а зовні каже є, але тут причини прості: створив постійні правила але не перезавантажив firewall чи не повторив їх у дійсних, а у випадку lo то він може також їх ігнорувати до перезавантаження системи. Останнє також актуально коли створюєш сам конфіги у неправильних місцях, наприклад в /usr/lib/firewalld замість /etc/firewalld.

Вважайте локалхост окремим інтерфейсом який перебуває у власній зоні фаєрволу, і тому його результати відрізняються від сканування реального інтерфейсу. Те що то є окремий "інтерфейс" тобі підтвердить ifconfig:

enp3s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.0.2  netmask 255.255.255.0  broadcast 10.0.0.255
        ...

enp3s0f1: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ...

enp4s0f0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ...

enp4s0f1: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ...

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 34897  bytes 20733245 (19.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 34897  bytes 20733245 (19.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

macvtap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ...

macvtap1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ...

macvtap2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ...

macvtap3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ...

virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ...

lo то інтерфейс "петлі" тобто localhost, або можна сказати "мережа" 127.0.0.1/8.
Також NetworkManager підтвердить це (# nmcli d):

virbr0      bridge    з'єднано     virbr0                                                                                              
enp3s0f0    ethernet  з'єднано     enp3s0f0                                                                                            
enp3s0f1    ethernet  недоступний  --                                                                                                  
enp4s0f0    ethernet  недоступний  --                                                                                                  
enp4s0f1    ethernet  недоступний  --                                                                                                  
lo          loopback  некерований  --                                                                                                  
macvtap0    macvlan   некерований  --                                                                                                  
macvtap1    macvlan   некерований  --        
macvtap2    macvlan   некерований  --        
macvtap3    macvlan   некерований  --        
virbr0-nic  tun       некерований  --

Просто не налаштовано управління ним. Тому і маєш такі результати часом до перезавантаження машини.

3

Re: FirewallD centos (не показує відкриті порти)

якщо це ще актуально, спробуйте використати (https://spyse.com/docs/data-description … wled-ports), він сканує всі порти, аналізує діри по CVE,збирає всі технічні дані по домену