Newbie vraag mbt OPNsense:
Een nmap service scan van alle TCP poorten van de WAN interface van de OPNSense firewall van buiten af over het internet levertmeer open poorten op dan verwacht. Hier had ik alleen de sip port verwacht van de voip telefonie. Echter vind ik er meer . De service name zijn gemeld door nmap met voor een deel rsponse, allen zijn syn-ack dus connect scan waar denk ik.
2000 cisco-sccp - geen idee
5060 sip - dit is mijn VOIP telefoon poort en dus verwacht
8008 http - hier zijn een paar response Support4de methods GET, HEAD, POST, OPTIONS; did not follow redirect to https://<wan-dns>:8015
8015 cfg-cloud -
8020 http-proxy - Fortigate Web Filtering Service
Edit: inmiddels in firewall states de sip connectie gevonden in firewall states. Die staat dus, logisch omdat de voip PBS moet weten of de lijn beschickbaar is?
De andere die ik dus niet verwacht had kan ik niet vinden in states.
Nu heb ik geprobeerd om de externe poorten terug te vinden in de firewall om te zien van waar ze komen, maar zelfs de sip poort kan ik niet vinden. Hoe kom ik er achter waar de externe poorten naar linken.
Voor de 8008 en 8015 dacht ik een auto anti-lockout rule te heben gevonden,die is standaard aan alle interfaces gekoppeld blijkt. Dus manaueel anti-lockout rules aangemaatkt voor de LAN zijde en de auto anti lockout gedisabled in advanced
Ook de web gui interface nalleen naar de LAN interface laten luisteren en niet naar WAN interface.
Dus nogmaals de vraag hoe ko mik er achter naar welke services/nodes/.... deze open externe poorten gokppeld zijn naar de LAN zijde.
Weet niet helemaal of ik je volg. Maar je ziet meer open poorten dan verwacht?
Dat is raar, standaard staat alles potdicht.
Dus:
* Je hebt zelf poorten opengezet
* Je scant fout
Zit je echt vanaf "buiten" te scannen? Ik gebruik altijd de volgende website. Google op "grc scan".
Inderdaad zie ik poorten open die ik niet verklaren kan. En had verwacht dat alles pot dicht zou zitten behalve voip
Iik scan zelf het publieke IP adres met nmap vanaf een hele andere internet aansluiting. Doe alle 0-65355 poorten op services checken met een bijna maximale diepgang. Is eigen aansluiting zal dus niet klagen.
Ik verwacht voip 5060 voor telefonie. Die zie ik ook terug in firewall-states inclusief NAT vertaling
De rest kan ik zo niet verklaren.
Zoals beschreven verdacht ik de web interface van de firewall zelf omdat die op alle interfaces luisterde, inclusief vlans, en een auto lockout rule dacht te zien op de internet wan. En de http redirect op 8008 naar https op. 8015 wijst in de services scan. Nu luister de FW webgui alleen nog op LAN. . Reboot firewall voor de zekerheid gedaan.
Ik verwacht niet dat IPTV iets op internet interface openzet, de igmp proxy kijkt upstream naar het WAN-VLAN4 ipv WAN-VLAN6 (KPN)
Poort 2000 & 8020 heb ik(nog) geen verklaring voor uit het achterliggende netwerk: tablets, mobieltjes, desktop.
Mogelijk nog de wifi AP's maar zou niet weten hoe die peerten open zetten.
Ik zie waarschijnlijk ook geen states in de firewall omdat de services http en https (proxy) zijn er er waarschijnlijk geen actieve connectie zijn sls ik weer thuis in de FW kijk. Port 2000 helemaal geen idee.
Maar er lijkt mij dat of in de FW zelf iets luisterd of een NAT rule naar binnen opengezet is middeles upnu? Iets hiervan zou in de configuratie zichtbaar moeten zijn lijkt mij. Maar waar kan & hoe kan ik dat zien? Is de vraag
Commandline? Graag hulp nodig , heb zelf beperkte linux mint commandline ervaring sinds kort probeer van MSFT weg te komen.
Hoop dat mijn vraag/probleem duidelijker heb gemaakt en hoor graag advies hoe....
heb je upnp service aanstaan? zo ja uitzetten.