Eseguo il mio router (basato su Ubuntu) e ho configurato iptables
per eliminare tutti i pacchetti in ingresso per impostazione predefinita. Con mia sorpresa, l'esecuzione di una scansione nmap
(dal lato WAN) mostra due porte aperte relative a VOIP:
nmap -Pn -v --reason XXX.net
Starting Nmap 7.60 ( https://nmap.org ) at 2018-03-28 09:52 CEST
Initiating Parallel DNS resolution of 1 host. at 09:52
Completed Parallel DNS resolution of 1 host. at 09:52, 0.09s elapsed
Initiating Connect Scan at 09:52
Scanning XXX.net (XXX.XXX.XXX.XXX) [1000 ports]
Discovered open port 21/tcp on XXX.XXX.XXX.XXX
Discovered open port 22/tcp on XXX.XXX.XXX.XXX
Discovered open port 5060/tcp on XXX.XXX.XXX.XXX
Discovered open port 2000/tcp on XXX.XXX.XXX.XXX
Completed Connect Scan at 09:52, 5.17s elapsed (1000 total ports)
Nmap scan report for XXX.net (XXX.XXX.XXX.XXX)
Host is up, received user-set (0.035s latency).
Not shown: 995 filtered ports
Reason: 995 no-responses
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 52
22/tcp open ssh syn-ack ttl 54
113/tcp closed ident reset ttl 254
2000/tcp open cisco-sccp syn-ack ttl 61
5060/tcp open sip syn-ack ttl 61
Read data files from: /usr/local/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 5.33 seconds
ftp
e ssh
sono corretti, poiché questi due servizi sono configurati sul router. Ma cisco-sccp
e sip
che si aprono sono notizie per me.
In effetti, una connessione telnet
ad entrambe le porte ha esito positivo:
telnet XXX.net 2000
Trying XXX.XXX.XXX.XXX...
Connected to XXX.net.
Escape character is '^]'.
telnet XXX.net 5060
Trying XXX.XXX.XXX.XXX...
Connected to XXX.net.
Escape character is '^]'.
Ma l'esecuzione di netstat -talpn
sul router mentre la sessione telnet
è attiva non mostra alcuna connessione stabilita per nessuna delle due porte. E il registro mostra che iptables
elimina i pacchetti:
Mar 27 20:52:16 router DROP INPUT IN=ppp0 OUT= MAC=MM:MM:MM:M SRC=YYY.YYY.YYY.YYY DST=XXX.XXX.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=51 ID=39215 DF PROTO=TCP SPT=52200 DPT=2000 SEQ=106277563 ACK=0 WINDOW=42340 SYN URGP=0 MARK=0
dove YYY.YYY.YYY.YYY
è l'IP di cui telnet
connette.
La mia diagnosi è corretta?
Se sì, come può telnet
stabilire una connessione, anche se i pacchetti vengono rilasciati sul router? Chi sta ascoltando sulle porte 2000 e 5060?