Rejeitar todos, exceto a política de lista branca com firewalld

3

Eu tenho lido no firewalld por quase toda a manhã, e eu criei a seguinte zona pública:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <source address="167.114.37.0/24"/>
  <source address="92.222.185.0/24"/>
  <source address="92.222.184.0/24"/>
  <source address="92.222.186.0/24"/>
  <source address="149.202.34.10/32"/>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
  <service name="https"/>
</zone>

O melhor que posso imaginar é que essa zona só deve permitir conexões de entrada nessas portas / serviços e fornecer acesso total a essas sub-redes. No entanto, quando examino meu servidor com o nmap, recebo cargas de portas abertas (e definitivamente não estou em uma das sub-redes da lista de permissões).

PORT      STATE    SERVICE
1/tcp     open     tcpmux
3/tcp     open     compressnet
4/tcp     open     unknown
6/tcp     open     unknown
7/tcp     open     echo
9/tcp     open     discard
13/tcp    open     daytime
17/tcp    open     qotd
19/tcp    open     chargen
20/tcp    open     ftp-data
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
24/tcp    open     priv-mail
25/tcp    filtered smtp
26/tcp    open     rsftp
30/tcp    open     unknown
32/tcp    open     unknown
33/tcp    open     dsp
37/tcp    open     time
42/tcp    open     nameserver
43/tcp    open     whois
49/tcp    open     tacacs
53/tcp    open     domain
70/tcp    open     gopher
79/tcp    open     finger
80/tcp    closed   http
81/tcp    open     hosts2-ns
82/tcp    open     xfer
83/tcp    open     mit-ml-dev
84/tcp    open     ctf
85/tcp    open     mit-ml-dev
88/tcp    open     kerberos-sec
89/tcp    open     su-mit-tg
90/tcp    open     dnsix
99/tcp    open     metagram
100/tcp   open     newacct
106/tcp   open     pop3pw
109/tcp   open     pop2
110/tcp   open     pop3
111/tcp   open     rpcbind
113/tcp   open     ident
119/tcp   open     nntp
125/tcp   open     locus-map
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn

... a lista continua, eu pensei em parar por aí. O que estou perdendo aqui?

EDIT Se eu tentar acessar uma dessas portas abertas ou filtradas, digamos com curl , obtenho o seguinte

$ curl myserver.example.com:125
curl: (7) Failed to connect to myserver.example.com port 125: Operation timed out

enquanto obtenho corretamente connection refused quando tento acessar uma das portas fechadas.

    
por Morpheu5 29.03.2016 / 15:16

1 resposta

0

Provavelmente você tem um roteador intermediário entre o seu computador de teste e o servidor. Nesse caso, é o roteador que confunde o nmap enviando respostas falsas, talvez como uma nuança da implementação do NAT. Se estiver correto, você obterá resultados semelhantes se verificar qualquer IP aleatório do computador.

    
por 05.04.2016 / 14:17