Nedávno mi můj provider posla e-mail o tom že mám otevřený port 23 ( neřešil jsem protože honeypot ) ale cca týden na to přišel další s portem 1900 ( který nepatří do honey/minipotu ).
Načež jsem amatérským zrakem shlédl nastavení kam jsem si přidával před lety jen jeden jedinný port a neshledal nic špatně. Krom onoho konkrétního portu ( na toho pokusu níže ) se v nastavení FW nehrabu protože tomu nerozumím.
Každopádně, když pustím jakýkoliv on-line port scaner tak se dozvím že mám otevřený každý port což nechápu. Přidal jsem i pravidlo pro konkrétní port na jeho zablokování a přesto mi on-line nastroj hlásí že je otevřený
Co to je ? Jakýkoli online scaner ? Já používám pro kontrolu grc.com/x/ne.dll?bh0bkyd2 (klikni Proceed) Jaký máš výsledek ?
Žádný privátní pravidla pro blokování portu 1900 nepřidávej … není důvod. Zřejmě si ho otevřela nějaká spuštěná aplikace na routeru … nebo ne ?
Name: ssdp
Purpose: UPnP Simple Service Discovery Protocol
Description: This UDP port is opened and used by Universal Plug N’ Play (UPnP) devices to receive broadcasted messages from other UPnP devices. UPnP devices broadcast subnet-wide messages to simultaneously reach all other UPnP devices.
Nevidím důvod aby tenhle konkrétní port byl otevřený ( vzhledem k popisu ), ani nevidím důvod aby byli otevřeny všechny ostaní. Je možné že si výsledek špatně interpretuji.
Z odkazu výše je výsledek nějak takhle ( děkuji za něj, neznám )
1 - z 26 portů testu je 25 skrytých a 1 otevřený - port 5000 (u mně je na portu 5000 moje NAS) — to je snad v pořádku. Co provozuješ v domácí síti nyní nebo v minulosti ?
2- Jak vypadá tvůj Port forward ? (u mně AdBlock a NAS)
5 - pokud máš předsazen modem UPS, tak se testuje ten modem (který přidělenou má externí IP) ne tvůj router . myslím … problém řeš s providerem - potažmo si projdi nastavení tohoto modemu, kde je zřejmě povoleno dálkové ovládání nebo co. Pravidlo pro port 1900 na svém routeru zruš !!
1.) Na routeru je LXC ( v interni siti pouzivano kde bezi grafana ), NAS balicek ( samba ) a MQTT mosquito, transmission . Ven mam pouze jeden port pro transmission který je mnohem výše ( ten je tam v podstatě od začátku co mám TO z indiegogo kampane ).
2.) Viz výše
3,4 .) je už výše
5.) Modem je v bridge rezimu což chápu tak že by neměl do ničeho kecat a dělat pouze onen most mezi koaxem a LAN. Teda měl by být protože tak nastavuji každý modem který jsem kdy na jakémkoliv připojení měl. Pokud by jej na dálku přehodili na normální řežim tak bych čekal že tam budou mít tyhle pravidla pořešené a nebudou mi posílat upozornění na jejich chybu ( v podstatě jejich). Asi mi nezbyde než se k němu dostat ( mám ho trochu stranou protože k němu prostě nebyl nikdy přístup potřeba ), když na TO by mělo být snad všechno v pořádku ( já nic určitě neměnil, podezření padlo na nějakou aktualizaci ).
Děkuji.
EDIT: Vlezl jsem k nemu teď, tvářil se že je v bridde modu. Radši jsem udělal reset to defaultu a znova nastavil do bridge.Ale žádná změna.
Nic lepšího mne nenapadlo, nejsem zas takový znalec. Ale aby router forwardoval port, který neni nastaven , není pravděpodobné. Ještě bych se podíval pro kontrolu, zda není port 1900 v sekci Status-Firewall status … Luci.
Tak to já nejsem vůbec. Léta mám stejnou konfiguraci toho co pouštím ven tak mi teď není jasné proč ten e-mail.
Nicméně dle onoho webu se sice na portu ozve server ale už nepustí žádné info ( viz exposed result ), zobrazí se jen MS-E ( MS explorer prohlížeč který samozřejmě nepoužívám ).
A mám pocit že když jsem si kdysi testoval které porty mám otevřené tak se nehlásil žádný ( tedy krom toho co jsem si otevřel ). Teď je to trochu jinak ale taky nebyl dynamicky FW. KTerý jsem zkusil i odinstalovat a resetovat TO ale nezpozoroval jsem žádnou změnu.Možná bych mohl zkusit kontaktovat CZNIC zda by k tomu měli nějaké info ( nebo kdyby sem nahlédl někdo kdo ví a vyluštil z mého dotazu o co vlastně jde ) a bylo vneseno trochu světla.
Každopádně děkuji i za ty to odpovědi které jsem dostal ( a za tip na tool ), třeba sem zabloudí ještě někdo.
Už jsem odhalil problem. Měl jsem špatně nastavené pravidlo pro ten jeden otevřený port který mám. Bylo tam “veškerý” příchozí traffic přesměrovat na jeden interni port. Po přenastavení je to už OK. Ono to nejspíš bylo OK i předtím, vše co se dostalo ven byla jen odezva ale info už žádné.
Děkuji za rady - donutili mě se v tom vrtat víc a víc se zamyslet. ( Stejně mi to nastavovaní iptables přijde strašně podivné )
Měl. Celou dobu s tím nějak nebyl problém a fungoval i honeypot ( dle statistik na webu ).
Políčko pro zdrojový port jsem měl prázdné a vyplněný byl jen cílový ( tak mi to tehdy přišlo logické ). Zjevně to ale není úplně správně.
Já používám pro kontrolu 
