[GELÖST] Offener Port TCP 1720 | NetMeeting?

[Oxygen61]

Hallo zusammen,

ich mal wieder. Ich habe grade mal ein "nmap -T4 -A -v <LAN-Int-IP>" auf meine Kiste abgelassen,
weil ich der Meinung war endlich fertig zu sein mit meinem LAN Ruleset.
Nun fiel mir auf das dort ein offener (nicht gefiltert oder closed) Port 1720 offen war.

Was habe ich versucht?
Da ich außer SSH, HTTP/HTTPS und ICMP an der Stelle nichts anderes brauche und erlaube an offenen Ports,
legte ich diese Regel an:
BLOCK IPv4 TCP   <LAN Netz> *   <LAN Interface IP>     1720   *   Block Port 1720    

Ergebnis:
Wie ihr euch sicher vorstellen könnt, brachte das überhaupt gar nichts. --> Port immer noch offen.
Meine Frage nun: Warum ist dieser Port überhaupt offen und warum lässt er sich nicht schließen? :-/

Troubleshoot:
Nachgeschaut hatte ich hier: http://www.speedguide.net/port.php?port=1720
Doch was hat OPNsense mit "NetMeeting" am Hut? :(

Ein # netstat  | grep 1720
brachte mir auch keine Erleuchtung ein. Als Antwort kam da kein aktiver Prozess zurück.
Vom Rechner der per nmap scannte konnte ich ebenfalls per telnet <LAN Interface IP> 1720 erfolgreich testen.
> os-upnp   1.1   31.0KiB   Universal Plug and Play Service
ist ebenfalls nicht installiert.

Was übersehe ich hier offensichtlich? :(

Schöne Grüße
Oxy

[JeGr]

Was sich mir aufdrängt:

auf meiner Kiste

Welcher? Deinem PC? Der Sense? Bitte klarer. :)

Nun fiel mir auf das dort ein offener (nicht gefiltert oder closed) Port 1720 offen war.

Inwiefern ist das relevant/schlimm? Solange auf WAN/LAN/sonstwo kein 1720 erlaubt ist, würde der eh nie genutzt werden können. Davon abgesehen, natürlich interessant zu wissen wer da lauscht.

Zudem: wer sagt, dass das kein false positive von NMAP ist? :) Direkt auf der Kiste mal nachgeschaut was an Ports gehalten wird?

Ein # netstat  | grep 1720
brachte mir auch keine Erleuchtung ein. Als Antwort kam da kein aktiver Prozess zurück.

Ansonsten ist sockstat -l46 auch ein ganz guter kompakter Überblick. Aber wenn weder "sockstat -l46" noch "netstat -an" was zurückliefern auf 1720, halte ich das für ein false positive von nmap.

Gruß

[Oxygen61]

Welcher? Deinem PC? Der Sense? Bitte klarer. :)

Sorry! Gemeint war, die OPNsense mit "Kiste". :P
Genauer: Mein PC der im LAN Netz steht führt nmap auf das Managemant Lan Interface der OPNsense aus (welche mit dem LAN Netz als LAN Interface verbunden ist).

Inwiefern ist das relevant/schlimm?

Es ist eher nervig und ich war verwundert, weil ich es nicht nachvollziehen konnte. Ein richtiges Problem sollte daraus nicht entstehen, selbst wenn der Port auf dem WAN Interface offen wäre.
Grade getestet und auf der WLAN und WAN Seite ist der Port nicht "open".
Merkwürdig. :)

Aber wenn weder "sockstat -l46" noch "netstat -an" was zurückliefern auf 1720, halte ich das für ein false positive von nmap.

sockstat -l46 | grep 1720 -> Kein Ergebnis
netstat -an | grep 1720 -> Kein Ergebnis

Direkt auf der Kiste mal nachgeschaut was an Ports gehalten wird?

sudo less /etc/services
zeigte mir dort wo "1720" stehen sollte folgendes:
l2tp            1701/udp   #Layer 2 Tunnelling Protocol
pptp            1723/tcp   #Point-to-point tunnelling protocol

Scheinst wohl recht zu haben mit dem False Positive. Merkwürdig ist es trotzdem, weil ich beim herumsuchen herausfand, das dieser Port wohl des öfteren mal offen wäre durch Firmware Bugs.

Schöne Grüße
Oxy

[JeGr]

Der Port muss nicht in den Services stehen. Alles über 1024 ist frei vergabefähig und daher recht schwer festzulegen. Daher kann das auch schlicht ein Port sein, der durch NAT, reverse-NAT, Proxy, UPNP oder ähnliches offen gehalten wird. Wäre denkbar.

[Oxygen61]

[...]der durch NAT, reverse-NAT, Proxy, UPNP oder ähnliches offen gehalten wird. Wäre denkbar.

Das kann natürlich auch sein. Beim Googlen hatte ich auch vereinzelt Einträge über "UPNP" als "Problemquelle" gefunden. Hmm... scheint halt auch wirklich nur auf dem LAN Port zu laufen der Port.