nmap findet "1720/tcp filtered H.323/Q.931"

[eagle]

Gestern ist mir bei einem Scan mit nmap in Netz die folgende Ausgabe aufgefallen:

Code: Alles auswählen

# nmap -sT Rechner
..
1720/tcp filtered H.323/Q.931
..

Ich habe mich auf dem Rechner eingeloggt und lokal den Scan ausgeführt, allerdings wurde diemal der Port 1720 nicht angezeigt. Auf dem Rechner läuft auf keinen Fall ein H.323 Service noch bekomme ich eine entsprechende Ausgabe mit dem Befehl netstat -plt . Ein Test mit chkrootkit hat auch nichts ergeben.

Das finde ich etwas seltsam. Hat eine von euch brauchbare Erklärung?

eagle

[pdreker]

filtered heisst, dass der Port *gar* nicht antwortet, also kein RST und nix... Firewall Regeln checken... (falls vorhanden). Scan von aussen nochmal wiederholen, es kann durchaus sein, dass das SYN Paket nicht bei dem Client angekommen ist, und der deshalb nicht geantwortet hat, was nmap dann natuerlich zu den falschen Schluessen kommen laesst.

Evtl. auch einfach 'mal von aussen versuchen mit "nc Rechner PORTNUMMER" zu connecten. Gibt das eine Verbindung, oder wird die abgelehnt?

Patrick

[eagle]

Also der Rechner ist im internen Netz und es sind keine iptables aktiv. Ein erneuter Versuch mit nmap gibt das gleiche Ergebnis.

Der Test mit nc gibt ein Timeout.

Code: Alles auswählen

... 1720 (?) : Connection timed out

eagle

[eagle]

Ich habe die Ursache gefunden. Verantwortlich sich mein Linksys WRT der zwischen dem WLANund dem Ethernet sitzt. Wird der nmap Befehl vom Laptop (WLAN) aufgerufen bekomme ich die Ausgabe 1720/tcp filtered H.323/Q.931 - im Ethernet dagegen nicht.

eagle