「となるとこれ以上はおやじの知識では無理ですね」(記事No.5227のレスです)
前のスレの深さが表示の限界に達したようなので、改めてスレを立てて
みました。
> > > > 一応私の方でもWinXPクライアントから"LISTEN"しているポートへ
> > > > ピンポイントでnmapしてみることにしました。サーバ側は前のカキコで
> > > > 書いた、インストーラが生成したフィルタです。これは22番へのアク
> > > > セスを許可していますので。これをやってみると、
> > > > --------------------------------------------------------------
> > > > 11:25:03.926115 arp who-has 192.168.0.2 (Broadcast) tell 192.168.0.1
> > > > 11:25:03.926160 arp reply 192.168.0.2 is-at 0:90:cc:51:b2:be
> > > > 11:25:04.018303 192.168.0.1.1047 > 192.168.0.2.ssh: S 2891283584:2891283584(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
> > > > 11:25:04.018377 192.168.0.2.ssh > 192.168.0.1.1047: S 3597010783:3597010783(0) ack 2891283585 win 5840 <mss 1460,nop,nop,sackOK> (DF)
> > > > 11:25:04.018595 192.168.0.1.1047 > 192.168.0.2.ssh: . ack 1 win 64240 (DF)
> > > > 11:25:04.019095 192.168.0.1.1047 > 192.168.0.2.ssh: R 2891283585:2891283585(0) win 0 (DF)
> > > > --------------------------------------------------------------
> > > > これを見ると概ねおやじさんのものと同様なのですが、ただ、最後の
> > > > 行に"ack"がありません。これは問題ないのですかね?
> > >
> > > これはおかしいですね。一番最後は、その前のSEQ 1 ACK1 で切るものなのでおやじのとおりでないとおかしいです。SuSEでもRedHatでも同じです。
> > > ということで、nmapをもう一度入れなおしてみてください。
> >
> > これについては私に知識がありませんのでよくわかりません。
>
> 相変わらずこうであるなら、最後の一行はWindows側の挙動のためWindows側の問題に間違いない(etherealならもっとはっきりする)と思っており、表面上はこの違い以外は見えないので、これがnmapを入れ替えても駄目となるとこれ以上はおやじの知識では無理ですね。
> おやじのほうは、サーバはSuSE9.3の64ビット/32ビット、RedHat8/9、FedoraCore4、CentOS4.1、クライアントはWinXP sp2 Pro/homeの2台を組み合わせてテストしてみましたが、全て同じ結果(想定どおりで内容も同じ)しかないので、これ以上はおやじにはアイデアがありません。
うーん。困りました。こうなったら、発想の転換をして、nmapにこだわらず、別のポートスキャンで状況を探りたいと思います。ここではWin98
で動作するSuperScan 3.0を使ってみることにしました。
まず、Win98クライアントで「電子メールスキャン」をオフにしてNorton
を無効にした状態で、サーバ側のフィルタを「完全DROP」にした場合、
何も表示されませんでした。この結果は望ましく思えます。
次にクライアント側の条件は同じで、サーバ側のフィルタを「完全ACCEPT」
にしてやってみました。すると、
--------------------------------------------------------------
* + 192.168.0.2 [Unknown]
|___ 22 SSH Remote Login Protocol
|___ SSH-1.99-OpenSSH_3.4p1.
|___ 80 World Wide Web HTTP
|___ 81 HOSTS2 Name Server
|___ 82 XFER Utility
|___ 83 MIT ML Device
|___ 111 SUN Remote Procedure Call
|___ 119 Network News Transfer Protocol
|___ 1080 Socks
|___ 5190 America-Online
|___ 8080 Standard HTTP Proxy
--------------------------------------------------------------
のように表示されました。これは、WinXPクライアントで電子メールスキャンをオフにしてNortonを無効にし、サーバのフィルタを「完全ACCEPT」
にしたのと全く同じとなっております(記事No.5220参照)。
そこで、よろしければ、おやじさんのRed Hat Linux 8 サーバに対し
てnmapをかけたらどういう表示が得られるか具体的に教えていただき
たいのです(表示のコピー&ペーストのような感じで)。
教えて頂きたい場合は、
・サーバのフィルタを「完全DROP」にした場合
・サーバのフィルタを「完全ACCEPT」にした場合
です。それと、"LISTEN"しているサービスのリストも教えて頂けたら
あり難いです。それがわかれば、SuperScanの結果の信頼性などに
ついての情報が得られることになると思うからです。
以上、よろしくお願い致します。
> 教えて頂きたい場合は、
>
> ・サーバのフィルタを「完全DROP」にした場合
> ・サーバのフィルタを「完全ACCEPT」にした場合
>
> です。それと、"LISTEN"しているサービスのリストも教えて頂けたら
> あり難いです。それがわかれば、SuperScanの結果の信頼性などに
> ついての情報が得られることになると思うからです。
おやじの環境では理論どおり動いているので、あまり意味ないと思いますが、とりあえずあげておきます。ACCEPT時はRedHat側でLISTENしているポートだけが出ますが、DROPは当然1ポートも検出されず、スタートとエンドメッセージのみです。
---------- RedHat8 のTCPの状態 -----------------
# netstat -an --tcp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:32769 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32771 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
-------- ALL ACCEPT時 ---------------------------
F:\nmap>nmap -sT 192.168.1.100
Starting nmap 3.93 ( http://www.insecure.org/nmap ) at 2005-09-29 22:40 東京 (標
準時)
Interesting ports on 192.168.1.100:
(The 1664 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
6000/tcp open X11
32771/tcp open sometimes-rpc5
MAC Address: 00:90:27:BE:AA:AD (Intel)
Nmap finished: 1 IP address (1 host up) scanned in 93.718 seconds
-------- ALL DROP時 ---------------------------
F:\nmap>nmap -sT 192.168.1.100
Starting nmap 3.93 ( http://www.insecure.org/nmap ) at 2005-09-29 22:38 東京 (標
準時)
All 1668 scanned ports on 192.168.1.100 are: filtered
MAC Address: 00:90:27:BE:AA:AD (Intel)
Nmap finished: 1 IP address (1 host up) scanned in 84.610 seconds
-------- ここまで ---------------------------
それよりも、Windowsのファイヤウォールをあけて、
1. Linux側からnmapする。
2. Windowsで自分192.168.0.1宛にポート指定で存在しないはずのポート(81や5190等)をnmapsする。本来なら全てスキャンしたいのですがwindows版はできない様子。SuperScan 3.0ならできる?
3. windowsからルータをnmapしてみる。
このあたりで、何かヒントが見つからないですかね?