Bonjour,
J'ai un VPS chez OVH centos 7 (vps255752.ovh.net). Cette machine est dédiée serveur de mail. Par précaution, après finalisation de mon serveur, depuis mon poste client je lance un nmap sur le vps pour vérifier les ports ouverts.
Grosse surprise puisque de nombreux port remontent avec un statut "open" alors qu'ils ne sont même pas ouverts sur le VPS. Plus surprenant les ports 80 et 443 sont déclarés ouverts alors que je n'ai même pas de service web sur le VPS.
Résultat de la commande "netstat -plnt" lancée sur le vps.
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 1240/master
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 1190/spamd.pid -d -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1108/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1240/master
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 1124/dovecot
tcp6 0 0 ::1:783 :::* LISTEN 1190/spamd.pid -d -
tcp6 0 0 :::22 :::* LISTEN 1108/sshd
tcp6 0 0 :::993 :::* LISTEN 1124/dovecot
Résultat de la commande nmap depuis ma machine vers le VPS.
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
Test de connexion depuis ma machine sur le port 80 avec netcap vers le VPS
Connection to 164.132.231.218 port 80 [tcp/http] succeeded!
Cette situation est la même pour les ports 110, 143, 443, 995.
De plus un firewall "firewalld" tourne sur le VPS afin de laisser ouvert uniquement les ports désirés (587,22,25,993)
Quelqu'un pourrait-il m'éclairer sur ces ports fantome ouvert sur le VPS ?
# Bizarre
Posté par claudex . Évalué à 4.
C'est bizarre, parce que si je test de chez moi, j'ai bien le 587 d'ouvert mais pas le 25. Est-ce que tu n'aurais pas un nat bizarre (par exemple pour forcer l'utilisation d'un proxy) ou l'ip définit ailleurs dans ton réseau local ? Que donne un
nc vps255752.ovh.net 25
? Tu vois bien la bonne banière SMTP ? Si tu fais fait un wget sur cette IP, tu as quoi comme réponse ?« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Bizarre
Posté par julienB56 . Évalué à 1.
résultat commande netcat lancée depuis chez moi.
nc vps255752.ovh.net 25
220 mail.tual.ovh
Résultat telnet
telnet vps255752.ovh.net 25
Trying 164.132.231.218…
Connected to vps255752.ovh.net.
Escape character is ']'.
220 mail.tual.ovh
Coté configuration réseau local, je n'ai rien de particulier. Je n'ai d'ailleurs jamais rien configuré.
Tu peux m'envoyer le résultat d'un nmap lancé depuis chez toi ? Si tu n'obtiens pas le même résultat et que celui-ci est conforme à ce qui est réellement ouvert sur mon VPS, je suspecte mon FAI de m'induire en erreur. Comment je ne sais pas.
Par contre je ne comprend pas non plus pourquoi depuis chez toi le port 25 est fermé. Comme le montre le résultat de la commande netstat lancée sur le VPS, celui-ci est bien ouvert.
[^] # Re: Bizarre
Posté par claudex . Évalué à 3.
Je n'ai jamais dit que c'était fermé, c'était juste pour voir si tu tombais bien sur la bonne machine.
Tu peux faire un tcptraceroute depuis chez toi vers le port 25 et le port 80 pour voir s'il y a une différence ?
Voilà:
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Bizarre
Posté par julienB56 . Évalué à 1.
Merci de ta réponse. Je ne sais pas si tu as vu mon post suivant ou je réponds que le 'problème' de port fantome ouvert vient en fait du mac. Depuis un autre ordinateur (Linux Fedora), j'obtiens le même résultat que toi (commande nmap). Je vais donc me pencher sur le mac avec des traceroute et autre voir ce qu'il se passe. Merci de ton aide.
[^] # Re: Bizarre
Posté par nono14 (site web personnel) . Évalué à 2.
test sans pare feu sur l'hote ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Bizarre
Posté par julienB56 . Évalué à 1.
Déjà fait et résultat identique. C'est bien mon mac le "soucis". Rien de bien méchant non plus mais très curieux. Même avec un outil de type wireshark, je n'arrive pas a comprendre pourquoi car de ce que je constate il cible bien mon vps avec une commande de type nc nmap ou telnet.
[^] # Re: Bizarre
Posté par bubar🦥 (Mastodon) . Évalué à 2.
vu d'icitte (ou plutôt delàbate) :
[^] # Re: Bizarre
Posté par julienB56 . Évalué à 2. Dernière modification le 19 mars 2016 à 12:14.
Merci de ton point de vue.
De mon coté j'avance sur cette bizarerie !!!
Dans le doute j'ai allumé un deuxième ordinateur (Linux Fedora) et relancé la commande
nmap -Pn
sur mon vps. J'obtiens le même résultat que toi (a savoir ouverture unique des ports 22,25,587 et 993) ce qui est rassurant car c'est ce que je veux).Je reviens donc sur l'ordi (un mac) sur lequel je lançais la commande nmap initialement. J'obtiens à nouveau le résultat décrit dans le post précédemment.
Conclusion :
-mon FAI n'a rien à voir la dedans.
-Le VPS est bien configuré
-Le Mac pour je ne sais quelles raisons voit ces ports "fantome" ouverts. Pire un telnet vps:80 pour lui pas de soucis, il se connecte :-) . Evidemment depuis le pc Linux je n'ai pas de connexion.
[^] # Re: Bizarre
Posté par NeoX . Évalué à 2.
nmap n'est pas dispo sur mon OSX pour tester, sinon j'aurai tester aussi.
[^] # Re: Bizarre
Posté par julienB56 . Évalué à 1.
Etonnant car sur le mien osx El capitan, il l'est par défaut via terminal.
[^] # Re: Bizarre
Posté par NeoX . Évalué à 2.
ici el capitan en update des precedentes versions depuis yosemite
pas de nmap dans le path
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.