Jan 30, 2023

1431

Cisco Router ZFW offener Port 53

Guten Abend,

Bin neu in Forum bzw. schon lange aber Mitleser.
Erstmal vielen dank für das Tutorial.

Ich hätte da noch eine Frage bzw. Problem.

Wenn ich auf meine externe IP einen Portscan aus dem WLAN VLAN mache, sagt mit NMAP das Port 53 offen ist.

Nach einem Portscan aus dem Mobilfunknetz war dieser nicht mehr zu sehen.
Das wird daran liegen das ich im Router ip dns server aktivert habe.

Der NMAP zeigt mir jetzt nach dem Portscan nur noch das an?

Not shown: 997 filtered tcp ports (no-response)
PORT    STATE  SERVICE      VERSION
135/tcp closed msrpc
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds

Das sollte ja passen, oder?

Hier die Konfig aus dem Router:

ip dns server
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.101.0 0.0.0.255 any
!
zone security Internet
zone security Kabel
zone security WLAN
!
class-map type inspect match-any Router-Protocols-Erlaubt
 match protocol tcp
 match protocol udp
 match protocol icmp
!
class-map type inspect match-any Kabel-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any WLAN-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect Router-WAN-Policy
description Traffic Router zum Internet
class type inspect Router-Protocols-Erlaubt
inspect
class class-default
drop
!
policy-map type inspect Kabel-Policy
description Traffic Kabel zum Internet
class type inspect Kabel-Erlaubt
inspect
class class-default
drop
!
zone-pair security Router-Internet source self destination Internet
service-policy type inspect Router-WAN-Policy
!
zone-pair security Kabel-Internet source Kabel destination Internet
service-policy type inspect Kabel-Policy
!
zone-pair security WLAN-Internet source WLAN destination Internet
service-policy type inspect WLAN-Policy

Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 5748274185

Url: https://administrator.de/contentid/5748274185

Printed on: May 3, 2024 at 06:05 o'clock

15 Comments

Latest comment

Das wird daran liegen das ich im Router ip dns server aktivert habe.

Das ist richtig, denn das ist ja ein DNS Server. Du siehst diese offenen Ports aber bei einer aktiven ZFW Firewall ausschliesslich nur auf internen Ports NICHT aber auf dem WAN/Internet Port.

Gleiches gilt für alle anderen Ports auch! Wäre ja auch fatal wenn dort etwas offen ist.

Das sollte ja passen, oder?

Nein, denn weder nach innen noch nach außen sollten RPC (135) oder die beiden SMB Ports (139, 445) offen sein. Wäre rein auf den Router bezogen technisch unmöglich, denn zumindestens der Cisco selber supportet diese Protokolle gar nicht selbst. Folglich kann das also niemals vom Router selber kommen.

Man kann hier nur mutmaßen und raten das du ggf. mit Port Forwarding oder sowas arbeitest und diese Ports freigegeben hast. Umso fataler weil SMB niemals ins Internet gehört geschweige denn dort übertragen werden sollte. Grade mal an 3 ISR Modellen und einem 886er getestet. Da ist weder intern noch extern was von diesen Ports unter nmap zu sehen.
Ohne die gesamte Konfig zu kennen ist das leider alles Kristallkugelei.

Die grundsätzliche Frage ist ja auch warum du das WLAN und LAN in 2 unterschiedliche Zonen legst wenn du so oder so die gleiche Instection damit machst. Das macht nur dann Sinn wenn LAN und WLAN untereinander vollkommen getrennt sein sollen. Andernfall könntest du effizienter beide Interfaces in eine gemeinsame Zone packen. Geht ja nur darum deine FW Logik zu verstehen...

Naja - ich denke mal eher er hat SMB freigegeben weil er sich überlegt hat "nutzt mein NAS ja also nen Dienst den ich brauche" und nicht überlegt hat ob der Router / die FW das überhaupt jemals sieht. Das ist jetzt ja nicht zwingend ein Anzeichen dafür das es aus dem Internet erreichbar ist. WENN Samba aus dem Internet erreichbar ist - gute Nacht...

Die einzig sinnvolle Alternative die mir so einfällt wäre mE. das es ein "Servernetz" gibt - was aber bei der Konfig nicht danach aussieht.

Hallo zusammen,

Danke, für eure Antworten.

Nein, ich habe nich den SMB Dienst nach außen offen.
Das einzig was ich außen offen habe ist, der Port (25565) für einen Minecraft Server.
Habe die Instection so angelegt das ich es besser verstehe. Deswegen alles einzeln.

Danke, für den Tipp.
Habe jetzt auch eine extra Vlan für diesen Server aufgemacht.

Hier noch die Konfig:

service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
service password-encryption
service linenumber
service compress-config
service sequence-numbers
service counters max age 5
!
boot-start-marker
boot-end-marker
logging buffered
logging history notifications
logging trap notifications
logging origin-id hostname
logging count
logging buffered 65535 informational
logging persistent
logging rate-limit console 3
no logging console guaranteed
logging console warnings
!
hostname cisco-01
!
ip domain name home.arpa
!
crypto key generate rsa general-keys modulus 2048
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
aaa local authentication attempts max-fail 5
!
no ip http server
no ip http secure-server
ip dns server
ip igmp snooping
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
crypto key generate rsa general-keys modulus 4096
!
vlan 100
name Kabel
vlan 101
name WLAN
vlan 102
name Spiele-Server
!
ip dhcp excluded-address 192.168.100.1 192.168.100.10
ip dhcp excluded-address 192.168.101.1 192.168.101.10
ip dhcp excluded-address 192.168.102.1 192.168.102.10
!
ip dhcp pool Kabel
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 192.168.100.254
lease 5 0 0
!
ip dhcp pool WLAN
network 192.168.101.0 255.255.255.0
default-router 192.168.101.1
dns-server 192.168.101.254
lease 5 0 0
!
ip dhcp pool Spiele-Server
network 192.168.102.0 255.255.255.0
default-router 192.168.102.1
dns-server 192.168.102.254
lease 5 0 0
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.101.0 0.0.0.255 any
access-list 101 permit ip 192.168.102.0 0.0.0.255 any
!
ip access-list extended Spiele-Server-Ports
permit tcp any host 192.168.102.5 eq 25565
!
zone security Internet
zone security Kabel
zone security WLAN
zone security Spiele-Server
!
class-map type inspect match-any Router-Protocols-Erlaubt
 match protocol tcp
 match protocol udp
 match protocol icmp
!
class-map type inspect match-any Kabel-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any WLAN-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any Spiele-Server-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any Spiele-Server-Ports-Erlaubt
match access-group name Spiele-Server-Ports
!
policy-map type inspect Router-WAN-Policy
description Traffic Router zum Internet
class type inspect Router-Protocols-Erlaubt
inspect
class class-default
drop
!
policy-map type inspect Kabel-Policy
description Traffic Kabel zum Internet
class type inspect Kabel-Erlaubt
inspect
class class-default
drop
!
policy-map type inspect Spiele-Server-Policy
description Traffic Spiele-Server zum Internet
class type inspect Spiele-Server-Erlaubt
inspect
class class-default
drop
!
policy-map type inspect Spiele-Server-Ports-Policy
description Traffic Internet zum Spiele-Server
class type inspect Spiele-Server-Ports-Erlaubt
inspect
class class-default
drop
!
class-map type inspect match-any Spiele-Erlaubt
match access-group name Spiele
!
zone-pair security Router-Internet source self destination Internet
service-policy type inspect Router-WAN-Policy
!
zone-pair security Kabel-Internet source Kabel destination Internet
service-policy type inspect Kabel-Policy
!
zone-pair security WLAN-Internet source WLAN destination Internet
service-policy type inspect WLAN-Policy
!
zone-pair security Internet-Spiele source Internet destination Spiele-Server
service-policy type inspect Spiele-Server-Policy
!
zone-pair security Spiel-Internet source Spiele-Server destination Internet
service-policy type inspect Spiele-Server-Ports-Policy
!
Interface Dialer0
description Telekom
zone-member security Internet
ip address negotiated
ip nat outside
encapsulation ppp
ppp authentication pap callin
ppp pap sent-username ----- ISP ZUGANG -----
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
dialer pool 1
dialer-group 1
mtu 1488
no cdp enable
!
dialer-list 1 protocol ip list 101
!
ip nat inside source list 101 interface Dialer0 overload
!
ip nat inside source static tcp 192.168.102.5 25565 interface Dialer0 25565
!
interface GigabitEthernet0/0/0
description Modem
pppoe enable
pppoe-client dial-pool-number 1
no lldp transmit
no cdp enable
no shutdown
!
interface GigabitEthernet0/1/0
 description Kabel
 switchport access vlan 100
 no cdp enable
!
interface GigabitEthernet0/1/1
 description Kabel
 switchport access vlan 100
 no cdp enable
!
interface GigabitEthernet0/1/2
 description Access Point 1
 switchport trunk native vlan 100
 switchport mode trunk
 switchport nonegotiate
 no cdp enable
!
interface GigabitEthernet0/1/3
 description Access Point 2
 switchport trunk native vlan 100
 switchport mode trunk
 switchport nonegotiate
 no cdp enable
!
interface Vlan 1
no ip address
shutdown
!
interface Vlan 100
description Kabel
ip address 192.168.100.1 255.255.255.0
ip nat inside
zone-member security Kabel
ip tcp adjust-mss 1448
!
interface Vlan 101
description WLAN
ip address 192.168.101.1 255.255.255.0
ip nat inside
zone-member security WLAN
ip tcp adjust-mss 1448
!
interface Vlan 102
description Spiele-Server
ip address 192.168.102.1 255.255.255.0
ip nat inside
zone-member security Spiele-Server
ip tcp adjust-mss 1448
!
line con 0
exec-timeout 3 0
logging synchronous
stopbits 1
line vty 0 4
exec-timeout 3 0
privilege level 15
logging synchronous
transport input ssh
line vty 5 15
exec-timeout 3 0
privilege level 15
logging synchronous
transport input ssh
!

Das Wichtigste fehlt leider...

Das sind die ACLs die zu den Class Maps gehören.
Man kann hier nur mutmaßen oder kristallkugeln das du dort die RPC und SMB Ports fälschlicherweise freigegeben hast?! Normal lässt die Firewall sowas logischerweise niemals durch.

Okay, dann weiß ich leider nicht was du genau meinst. Habe so die Konfig kopiert und eingefügt. Mehr habe ich grade nicht.

Kannst du mir sagen wo das was fehlt?

Grüße

Du hast oben über die Class maps mehrer eingehende ACLs aktiviert, die dir Ports aus dem Internet in der ZFW freigeben. Das sind im ZFW Tutorial z.B. die "ALLOWv4" Accessliste.

class-map type inspect match-all ALLOW_IN
match access-group name ALLOWv4

Diese korrespondiert zur entsprechenden ACL "ALLOWv4":

ip access-list extended ALLOWv4
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any

Wie du selber liest erlaubt diese die Ports UPD 550, 4500 und das ESP Protokoll, die zu IPsec gehören, damit der Zugriff auf den Router dafür erlaubt ist.

Du arbeitest (aus der Konfig geschlossen) vermutlich auch mit Port Forwarding. Auch DAS muss entsprechend in der ZFW berücksichtigt werden damit diese Ports durch die Firewall passieren können.
Hier hast du vermutlich irgendwo einen Fehler gemacht in der ACL und fälschlicherweise irgendwo RPC und SMB erlaubt.

Auch das Port Forwarding aus dem Internet wird immer über eine entsprechende Access Liste mit Bezug zu einer Class Map geregelt in der Cisco Zone based Firewall.
Ein genaues Beispiel wie man das Port Forwarding mit der ZFW umsetzt findest du in einem separaten Tutorial:
Cisco router with zone based firewall and port forwarding

Die Allow-In Regel nicht konfiguriert da, ich die nicht brauche. Also kein VPN.

Das einzige was von außen kommt und durch die Firewall geht ist der Minecraft Server Port und das läuft ja über das Port Forwarding. Einen SMB Portfreigebe habe ich nicht konfiguriert.

Danke für den Link. Schaue ich mir an.

Grüße

Das war doch nur ein Beispiel!! Du hast es mit der ip access-list extended Spiele-Server-Ports ja ebenso gemacht mit Port Forwarding. Wer weiss was du da noch in der Konfig freigegeben hast...?!
Wie gesagt die ZFW Firewall ist komplett dicht wenn man nichts von außen freigibt. Wäre ja auch ziemlich fatal und Cisco hätte ein Problem wenn es bei einer Firewall nicht so wäre... 😉

Ja, wollte nur damit sagen das ich da nichts Konfiguriert habe waschen SMB Port freigibt.
Die komplette Konfiguration findest du ja oben. Mehr habe ich nicht konfiguriert.

Deswegen auch die Frage woran es liegt.

Grüße

Es ist möglich das die Anzeige von Geräten kommt die aktive Sessions über den Router haben.
Trenne mal alles vom lokalen LAN oder setze die lokalen Interfaces auf shutdown das nix nach aussen kann, warte 5 Minuten und scanne nochmal von extern.
Hab das eben mal an 3 verschiedenen Systemen hier getestet mit einem externen nmap Host. Alles wasserdicht, da taucht erwartungsgemäß kein einziger SMB oder RPC Port auf, auch nicht im Live Betrieb.

Habe jetzt mal alle Netzwerkkabel bis auf die Verbindung zwischen Router und Modem gezogen.
Und zudem die lokalen LAN Ports am Router auf shutdown gesetzt.

Hier das Ergebis vom NMAP (Windows, GUI) Scan per LTE über Smartphone

nmap -T4 -A -v 8.1.2.3

Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-02 21:21 Mitteleuropäische Zeit
Initiating Ping Scan at 21:21
Scanning 8.1.2.3 [4 ports]
Completed Ping Scan at 21:21, 0.33s elapsed (1 total hosts)
Completed Parallel DNS resolution of 1 host. at 21:21, 0.17s elapsed
Initiating SYN Stealth Scan at 21:21
Scanning xxxxxxx.xxxxxxx.de (8.1.2.3) [1000 ports]
Completed SYN Stealth Scan at 21:21, 21.32s elapsed (1000 total ports)
Initiating Service scan at 21:21
Initiating OS detection (try #1) against xxxxxxx.xxxxxxx.de (8.1.2.3)
Retrying OS detection (try #2) against xxxxxxx.xxxxxxx.de (8.1.2.3)
WARNING: OS didn't match until try #2  
Initiating Traceroute at 21:21
Completed Traceroute at 21:21, 3.05s elapsed
Initiating Parallel DNS resolution of 1 host. at 21:21
Completed Parallel DNS resolution of 1 host. at 21:21, 0.10s elapsed
NSE: Script scanning 8.1.2.3
Initiating NSE at 21:21
Completed NSE at 21:21, 5.02s elapsed
Initiating NSE at 21:21
Completed NSE at 21:21, 0.00s elapsed
Initiating NSE at 21:21
Completed NSE at 21:21, 0.00s elapsed
Nmap scan report for xxxxxxx.xxxxxxx.de (8.1.2.3)
Host is up (0.072s latency).
Not shown: 997 filtered tcp ports (no-response)

PORT    STATE  SERVICE      VERSION
135/tcp closed msrpc
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds

Too many fingerprints match this host to give specific OS details
Network Distance: 7 hops
TRACEROUTE (using port 80/tcp)
HOP RTT      ADDRESS
1   68.00 ms 192.168.34.134
2   ... 6
7   38.00 ms xxxxxxx.xxxxxxx.de (8.1.2.3)
NSE: Script Post-scanning.
Initiating NSE at 21:21
Completed NSE at 21:21, 0.00s elapsed
Initiating NSE at 21:21
Completed NSE at 21:21, 0.00s elapsed
Initiating NSE at 21:21
Completed NSE at 21:21, 0.00s elapsed
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.60 seconds
           Raw packets sent: 2076 (95.652KB) | Rcvd: 23 (948B)

Hier der NMAP Scan (Linux, CLI) von einem Bekannten per Remotedesktop über LTE Smartphone (Anydesk).

root@notebook:~# nmap -T4 -A -v 8.1.2.3
Starting Nmap 7.80 ( https://nmap.org ) at 2023-02-02 21:35 CET
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 21:35
Completed NSE at 21:35, 0.00s elapsed
Initiating NSE at 21:35
Completed NSE at 21:35, 0.00s elapsed
Initiating NSE at 21:35
Completed NSE at 21:35, 0.00s elapsed
Initiating Ping Scan at 21:35
Scanning 8.1.2.3 [4 ports]
Completed Ping Scan at 21:36, 2.05s elapsed (1 total hosts)
Nmap scan report for 8.1.2.3 [host down]
NSE: Script Post-scanning.
Initiating NSE at 21:36
Completed NSE at 21:36, 0.00s elapsed
Initiating NSE at 21:36
Completed NSE at 21:36, 0.00s elapsed
Initiating NSE at 21:36
Completed NSE at 21:36, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 2.55 seconds
           Raw packets sent: 8 (304B) | Rcvd: 0 (0B)

Nochmal der NMAP Scan (Linux, CLI) mit geänderten Parametern. Vom Bekannten per Remotedesktop per LTE Smartphone (Anydesk).

root@notebook~# nmap --top-ports 1000 -Pn 8.1.2.3
Starting Nmap 7.80 ( https://nmap.org ) at 2023-02-02 21:50 CET
Nmap scan report for xxxxxxx.xxxxxxx.de (8.1.2.3)
Host is up (0.027s latency).
Not shown: 998 filtered ports

PORT     STATE  SERVICE
5060/tcp closed sip
5061/tcp closed sip-tls

Nmap done: 1 IP address (1 host up) scanned in 69.17 seconds

Grüße

Tja...wem soll man nun glauben?! Sieht ja so aus als ob nmap sich das Ergebnis je nach Quellnetz würfelt...

Bei deinem Output werden die Ports ja auch als "closed" angezeigt, sind also auch nicht erreichbar. So, who cares?!

Dachte ich mir auch.

Werde mal versuchen von einem Server im Interber einen NMAP Scan zu machen um zu schauen.
Passen soweit die Parameter die ich NMAP mitgebe?

Grüße

Hallo aqui,

hier der NMAP Scans von einem Linux Server aus dem Internet:

1. Scan:

root@NMAP-Scan:~# nmap -T4 -A -v 8.1.2.3
Starting Nmap 7.80 ( https://nmap.org ) at 2023-02-03 21:26 UTC
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Initiating Ping Scan at 21:26
Scanning 8.1.2.3 [4 ports]
Completed Ping Scan at 21:26, 2.00s elapsed (1 total hosts)
Nmap scan report for 8.1.2.3 [host down]
NSE: Script Post-scanning.
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Initiating NSE at 21:26
Completed NSE at 21:26, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 2.80 seconds
           Raw packets sent: 8 (304B) | Rcvd: 4 (208B)

2. Scan:

root@NMAP-Scan:~# nmap --top-ports 1000 -Pn 8.1.2.3
Starting Nmap 7.80 ( https://nmap.org ) at 2023-02-03 21:27 UTC
Nmap scan report for xxxxxx.xxxxxx.de (8.1.2.3)
Host is up.
All 1000 scanned ports on xxxxxx.xxxxxx.de (8.1.2.3) are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.32 seconds

3. Scan: (War so gewollt um zu sehen ob es passt)

root@NMAP-Scan:~# nmap -p 25565 -Pn 8.1.2.3
Starting Nmap 7.80 ( https://nmap.org ) at 2023-02-03 21:32 UTC
Nmap scan report for xxxxxx.xxxxxx.de (8.1.2.3)
Host is up.

PORT      STATE    SERVICE
25565/tcp filtered minecraft

Nmap done: 1 IP address (1 host up) scanned in 2.08 seconds

Das sollte jetzt aber passen?!

Grüße

Bingo! 👍
Works as designed! Alles andere wäre auch verwunderlich gewesen. 😉

German solved Question Routers, Routing Firewall

Hotly discussed

End of availability for classic Teams clientDani - 2 Comments

Ubuntu 24.04 LTS Noble Numbat availableFrank

Developer diary: Release 6.1admtech