port fuer Anwendung oeffnen / iptables / nmap

persim · Beitrag von **persim** » 19.12.2005 13:15:27

Hallo,

ich kenne mich mit Linux leider kaum aus und hoffe, dass mir hier jemand helfen kann. Ich fuehre unter Debian Linux ein Programm aus, das auf Port 2350 auf Rechenanfragen wartet, die von Prozessen auf anderen Rechnern ueber das Netzwerk gestellt werden. Leider bekommen diese Client-Prozesse aber keine Verbindung zum Serverprozess, obwohl das anpingen des Servers funktioniert. Ich bin mir ziemlich sicher, dass ein Firewall auf dem Server-Rechner die Verbindung verhindert. Ich moechte deshalb das Port 2350 oeffnen, d.h. eingehende Verbindungen ermoeglichen.

Ich habe folgenden Befehl versucht:

iptables -I INPUT -p tcp --dport 2350 -j ACCEPT

aber wenn ich anschliessend

nmap -sT -O localhost

aufrufe, erhalte ich folgende Antwort:

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-12-19 13:11 CET
Interesting ports on localhost (127.0.0.1):
(The 1658 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
111/tcp open rpcbind
631/tcp open ipp
893/tcp open unknown
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7)
Uptime 0.014 days (since Mon Dec 19 12:51:20 2005)
Nmap run completed -- 1 IP address (1 host up) scanned in 2.122 seconds

Das Port 2350 ist nicht in der Liste und ist demnach immer noch zu...

Kann mir jemand sagen was ich falsch mache, bzw. wie ich das Port oeffnen kann?

Vielen Dank im Voraus fuer eine klaerende Antwort!

Simon

gms · Beitrag von **gms** » 19.12.2005 13:24:44

Poste bitte einmal die Ausgabe von "iptables -nvL" (wenn es länger ist auf http://nopaste.debianforum.de/). Daraus sollten wir erkennen, ob dort eine Firewall installiert ist, und wenn ja, wo welche Rules eingefügt gehören. Mit deinem Befehl erlaubst du z.B. nur die eingehenden Pakete, für eine tcp Kommunikation mußt du aber natürlich auch die ausgehenden Pakete durchlassen.

Die Ausgabe von "netstat -tapn" wäre auch noch hilfreich

Gruß
gms

ffpbsd · Beitrag von **ffpbsd** » 19.12.2005 13:25:48

also es gibt 65534 ports und wie du bei deinem printout gesehen hast hat er weniger als 2000 gescannt. das liegt daran das er wahrscheinlich nur die standardports gescannt hat. solltest mal bei den optionen schauen, da müsste es auch ne option für nmap geben die nur einen speziellen port scannen sollte.

Code: Alles auswählen

netstat

mit ein paar optionen ist auch noch ne möglichkeit zu schauen welche ports offen bzw listen sind.

persim · Beitrag von **persim** » 19.12.2005 14:13:16

Danke fuer eure schnellen Antworten.

@ffpbsd:

Code: Alles auswählen

 nmap -sT -O -p 2350 localhost

liefert

Code: Alles auswählen

 Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-12-19 14:01 CET
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on localhost (127.0.0.1):
PORT     STATE  SERVICE
2350/tcp closed unknown
Too many fingerprints match this host to give specific OS details
Nmap run completed -- 1 IP address (1 host up) scanned in 4.265 seconds

@gms

Code: Alles auswählen

iptables -nvL

liefert

http://nopaste.debianforum.de/1873

und

Code: Alles auswählen

netstat -tapn

liefert

Code: Alles auswählen

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:2350            0.0.0.0:*               LISTEN     6708/socketserver
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     5549/portmap
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN     5953/pdnsd
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN     5884/cupsd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     6090/master
tcp        0      0 0.0.0.0:7741            0.0.0.0:*               LISTEN     5941/lisa
tcp        0      0 127.0.0.1:894           0.0.0.0:*               LISTEN     6230/famd
tcp6       0      0 :::25                   :::*                    LISTEN     6090/master

wobei der Eintrag in der ersten Zeile mein Serverprogramm ist.

EDIT: viel zu lange Ausgabe von netstat nach nopaste verschoben - blackm

gms · Beitrag von **gms** » 19.12.2005 14:47:20

Der Schreiber dieser Firewallregeln möchte offenbar für jede Regel eine eigene Chain haben, am besten clonst du die für in_world_ssh_s5 und out_world_ssh_s5

Gruß
gms

persim · Beitrag von **persim** » 19.12.2005 15:39:44

Vielen Dank. Kannst Du mir bitte genau sagen wie das geht, d.h. welche Befehle ich eingeben soll? Hab nämlich 0 Ahnung...

Simon

gms · Beitrag von **gms** » 19.12.2005 15:50:48

sollte ungefähr so funktionieren:

Code: Alles auswählen

iptables -N in_world_ss
iptables -A in_world_ss -p tcp --dport 2350 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I in_world 6 -j in_world_ss
iptables -N out_world_ss
iptables -A out_world_ss -p tcp --sport 2350 -m state --state ESTABLISHED -j ACCEPT
iptables -I out_world 6 -j out_world_ss

Gruß
gms

persim · Beitrag von **persim** » 19.12.2005 16:13:35

Danke, jetzt funktioniert alles problemlos. Gäb es doch in alle Foren so effiziente Helfer...