[plamo:19136] Re: nmap

[早間義博]

早間です。

> 27374/tcp filtered subseven

無関係と思いますが、
このポートには外部から２００３年３月２５日以降アクセスがあります。
> 
> また、同じネットワークアドレス内にある他のサーバ、これも単独
> で動いている物ですが、に対して自宅からnmapを実行してみると
> subsevenに加えて
> 
> 12345/tcp filtered NetBus
> 17300/tcp filtered kuang2
> 

同様に無関係と思いますが、
２００３年４月１７日から 17300/tcp へ外部からアクセスがあります。
一次期、大量にアクセスがあったので、どこからかアナウンスが出るかと
思っていたのですが、これは何でしょう。誰かが埋め込んだ木馬を探して
いるのでしょうか。
12345/tcp には ２００３年３月９日からありますが、もっと前からあっ
たか否かは記録していません。

また、Plamo 3.0 Plamo 3.1 （古く Plamo 2.2 も）の機械に nmap で調
べましたが、下記の３ポートには何の記述も出ません。

 27374/tcp filtered subseven
 12345/tcp filtered NetBus
 17300/tcp filtered kuang2

linux はこの３ポートに対して基本的に何もしていないと言うことだと思
います。

想像で発現するのは問題ですが、四竈さんがご利用になっているルータが
当該のポートに対し、ガードを（進入禁止）掛けているので nmap に検出
されるのでは無いでしょうか。（拒否の事実が発止元に届く）

私は多くの場合パケットフィルタリングでは（用語は幾らか方言ですが）
   reject （拒否）
でなく
   drop （無視）
を選んでいるので、ルータを nmap で調べても閉じているポートに対する
レポートは表示されません。

感覚的な理解ですが reject の場合「拒否の連絡が発信元に届く」、
drop の場合は「何もしない」と理解しています。

-- 早間  yossi@yedo.src.co.jp