Forum Linux.redhat Centos 7 : Comportement réseau étrange.

Posté par julienB56 le 18 mars 2016 à 23:07. Licence CC By‑SA.

Étiquettes : aucune

mar.

2016

Bonjour,

J'ai un VPS chez OVH centos 7 (vps255752.ovh.net). Cette machine est dédiée serveur de mail. Par précaution, après finalisation de mon serveur, depuis mon poste client je lance un nmap sur le vps pour vérifier les ports ouverts.

Grosse surprise puisque de nombreux port remontent avec un statut "open" alors qu'ils ne sont même pas ouverts sur le VPS. Plus surprenant les ports 80 et 443 sont déclarés ouverts alors que je n'ai même pas de service web sur le VPS.

Résultat de la commande "netstat -plnt" lancée sur le vps.
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name

tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 1240/master

tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 1190/spamd.pid -d -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1108/sshd

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1240/master

tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 1124/dovecot

tcp6 0 0 ::1:783 :::* LISTEN 1190/spamd.pid -d -
tcp6 0 0 :::22 :::* LISTEN 1108/sshd

tcp6 0 0 :::993 :::* LISTEN 1124/dovecot

Résultat de la commande nmap depuis ma machine vers le VPS.
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s

Test de connexion depuis ma machine sur le port 80 avec netcap vers le VPS
Connection to 164.132.231.218 port 80 [tcp/http] succeeded!

Cette situation est la même pour les ports 110, 143, 443, 995.

De plus un firewall "firewalld" tourne sur le VPS afin de laisser ouvert uniquement les ports désirés (587,22,25,993)

Quelqu'un pourrait-il m'éclairer sur ces ports fantome ouvert sur le VPS ?

# Bizarre

Posté par claudex le 19 mars 2016 à 09:04. Évalué à 4.

C'est bizarre, parce que si je test de chez moi, j'ai bien le 587 d'ouvert mais pas le 25. Est-ce que tu n'aurais pas un nat bizarre (par exemple pour forcer l'utilisation d'un proxy) ou l'ip définit ailleurs dans ton réseau local ? Que donne un nc vps255752.ovh.net 25 ? Tu vois bien la bonne banière SMTP ? Si tu fais fait un wget sur cette IP, tu as quoi comme réponse ?

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
- [^] # Re: Bizarre
  
  Posté par julienB56 le 19 mars 2016 à 11:34. Évalué à 1.
  
  résultat commande netcat lancée depuis chez moi.
  nc vps255752.ovh.net 25
  220 mail.tual.ovh
  
  Résultat telnet
  telnet vps255752.ovh.net 25
  Trying 164.132.231.218…
  Connected to vps255752.ovh.net.
  Escape character is '^]'.
  220 mail.tual.ovh
  
  Coté configuration réseau local, je n'ai rien de particulier. Je n'ai d'ailleurs jamais rien configuré.
  
  Tu peux m'envoyer le résultat d'un nmap lancé depuis chez toi ? Si tu n'obtiens pas le même résultat et que celui-ci est conforme à ce qui est réellement ouvert sur mon VPS, je suspecte mon FAI de m'induire en erreur. Comment je ne sais pas.
  
  Par contre je ne comprend pas non plus pourquoi depuis chez toi le port 25 est fermé. Comme le montre le résultat de la commande netstat lancée sur le VPS, celui-ci est bien ouvert.
  - [^] # Re: Bizarre
    
    Posté par claudex le 19 mars 2016 à 12:13. Évalué à 3.
    Par contre je ne comprend pas non plus pourquoi depuis chez toi le port 25 est fermé.
    
    Je n'ai jamais dit que c'était fermé, c'était juste pour voir si tu tombais bien sur la bonne machine.
    
    Coté configuration réseau local, je n'ai rien de particulier. Je n'ai d'ailleurs jamais rien configuré.
    
    Tu peux faire un tcptraceroute depuis chez toi vers le port 25 et le port 80 pour voir s'il y a une différence ?
    
    Tu peux m'envoyer le résultat d'un nmap lancé depuis chez toi ?
    
    Voilà:
```
$ nmap -Pn vps255752.ovh.net

Starting Nmap 6.47 ( http://nmap.org ) at 2016-03-19 12:12 CET
Nmap scan report for vps255752.ovh.net (164.132.231.218)
Host is up (0.010s latency).
rDNS record for 164.132.231.218: 218.ip-164-132-231.eu
Not shown: 996 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
587/tcp open  submission
993/tcp open  imaps

Nmap done: 1 IP address (1 host up) scanned in 4.83 seconds
```
    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
    - [^] # Re: Bizarre
      
      Posté par julienB56 le 19 mars 2016 à 12:33. Évalué à 1.
      
      Merci de ta réponse. Je ne sais pas si tu as vu mon post suivant ou je réponds que le 'problème' de port fantome ouvert vient en fait du mac. Depuis un autre ordinateur (Linux Fedora), j'obtiens le même résultat que toi (commande nmap). Je vais donc me pencher sur le mac avec des traceroute et autre voir ce qu'il se passe. Merci de ton aide.
      - [^] # Re: Bizarre
        
        Posté par nono14 (site web personnel) le 20 mars 2016 à 11:12. Évalué à 2.
        
        test sans pare feu sur l'hote ?
        
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: Bizarre
        
        Posté par julienB56 le 20 mars 2016 à 13:31. Évalué à 1.
        
        Déjà fait et résultat identique. C'est bien mon mac le "soucis". Rien de bien méchant non plus mais très curieux. Même avec un outil de type wireshark, je n'arrive pas a comprendre pourquoi car de ce que je constate il cible bien mon vps avec une commande de type nc nmap ou telnet.
- [^] # Re: Bizarre
  
  Posté par bubar🦥 (site web personnel) le 19 mars 2016 à 11:45. Évalué à 2.
  vu d'icitte (ou plutôt delàbate) :
```
Not shown: 65531 filtered ports
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 6.6.1 (protocol 2.0)
25/tcp  open  smtp     Postfix smtpd
587/tcp open  smtp     Postfix smtpd
993/tcp open  ssl/imap Dovecot imapd

Device type: general purpose|specialized|WAP|media device|storage-misc
Running (JUST GUESSING): Linux 2.6.X|3.X (93%), Crestron 2-Series (87%), Netgear embedded (87%), Western Digital embedded (87%), HP embedded (85%)
(...)
Service Info: Host: mail.tual.ovh
```
  - [^] # Re: Bizarre
    
    Posté par julienB56 le 19 mars 2016 à 12:11. Évalué à 2. Dernière modification le 19 mars 2016 à 12:14.
    
    Merci de ton point de vue.
    
    De mon coté j'avance sur cette bizarerie !!!
    
    Dans le doute j'ai allumé un deuxième ordinateur (Linux Fedora) et relancé la commande nmap -Pn sur mon vps. J'obtiens le même résultat que toi (a savoir ouverture unique des ports 22,25,587 et 993) ce qui est rassurant car c'est ce que je veux).
    
    Je reviens donc sur l'ordi (un mac) sur lequel je lançais la commande nmap initialement. J'obtiens à nouveau le résultat décrit dans le post précédemment.
    
    Conclusion :
    
    -mon FAI n'a rien à voir la dedans.
    -Le VPS est bien configuré
    -Le Mac pour je ne sais quelles raisons voit ces ports "fantome" ouverts. Pire un telnet vps:80 pour lui pas de soucis, il se connecte :-) . Evidemment depuis le pc Linux je n'ai pas de connexion.
    - [^] # Re: Bizarre
      
      Posté par NeoX le 20 mars 2016 à 14:35. Évalué à 2.
      
      nmap n'est pas dispo sur mon OSX pour tester, sinon j'aurai tester aussi.
      - [^] # Re: Bizarre
        
        Posté par julienB56 le 20 mars 2016 à 14:39. Évalué à 1.
        
        Etonnant car sur le mien osx El capitan, il l'est par défaut via terminal.
        
        [^] # Re: Bizarre
        
        Posté par NeoX le 20 mars 2016 à 14:51. Évalué à 2.
        
        ici el capitan en update des precedentes versions depuis yosemite
        pas de nmap dans le path

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.