driv3r
Goto Top

Portscan (nmap) auf öffentliche ISP IP vom lokalen Netzwerk

Hallo zusammen,

ich hab mal eine Verständnisfrage zum Portscan.

Wenn ich vom Büro aus meine öffentliche IP Adresse zu Hause (die ich ja vom Provider zugewiesen bekomme) mit einem Portscan (nmap) scanne, dann werden alle Ports als geschlossen angezeigt. Soweit so gut und auch richtig.

Mache ich von zu Hause einen Portscan auf meine öffentliche IP Adresse, werden mir die Ports als offen angezeigt, die ich im Heimnetzwerk offen habe, z.B. SSH lokal.

Könnte mir jemand technisch erklären, was da im Hintergrund passiert?

Danke!

Content-Key: 4948513173

Url: https://administrator.de/contentid/4948513173

Printed on: February 24, 2024 at 02:02 o'clock

Member: NordicMike
NordicMike Dec 13, 2022 at 14:49:39 (UTC)
Goto Top
Da wird die Firewall direk am WAN Anschluss greifen. Wenn du von innen scannst, wird der WAN Anschluss gar nicht verwendet.
Member: DRIV3R
DRIV3R Dec 13, 2022 at 14:52:07 (UTC)
Goto Top
Auch wenn ich von innen die externe öffentlich IP scanne?
Member: erikro
erikro Dec 13, 2022 at 15:08:02 (UTC)
Goto Top
Moin,

Zitat von @DRIV3R:

Auch wenn ich von innen die externe öffentlich IP scanne?

Nein. Es gibt zwei Möglichkeiten. Entweder kann Dein Router NAT Loopback. Dann passiert folgendes:

Du stellst eine Anfrage an die öffentliche IP.
Der Router stellt fest, dass es seine eigene öffentliche IP ist.
Das Paket geht nicht auf die WAN-Schnittstelle, sondern wird lokal verarbeitet, als wäre es an die lokale IP des Router gerichtet.
Das Resultat wird an den Client zurückgeschickt mit der öffentlichen IP.

Oder er kann es nicht, dann geht es einfach gar nicht.

hth

Erik
Member: DRIV3R
DRIV3R Dec 13, 2022 at 16:43:38 (UTC)
Goto Top
Danke für die Erläuterung.

Mein Aufbau ist:
DSL - Vigor 165 Modem - Mikrotik Hex S mit ROS 7.6 - PCs

Ich habe NAT Loopback nicht explizit konfiguriert.
Lediglich pppoe und srcnat

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Ist damit NAT Loopback schon konfiguriert?
Member: DRIV3R
DRIV3R Dec 13, 2022 at 17:11:36 (UTC)
Goto Top
Hab ich alles gelesen, erklärt aber leider nicht, warum mein Hex S NAT Loopback macht, auch wenn ich es nicht konfiguriert habe.
Mitglied: 4863114660
Solution 4863114660 Dec 13, 2022 updated at 17:38:55 (UTC)
Goto Top
Zitat von @DRIV3R:

Hab ich alles gelesen, erklärt aber leider nicht, warum mein Hex S NAT Loopback macht, auch wenn ich es nicht konfiguriert habe.
Macht der auch nicht wenn du es nicht konfigurierst.
Trotzdem nimmt er die Pakete an, weil er erkennt das die externe IP ja er selbst ist, und da die Pakete hierbei über das LAN Interface in die Firewall hinein fließen gelten die Firewall-Rules die für die LAN Interfacelist in der INPUT Chain gelten und dort sind ja meist einige offen wie bspw. für den DNS Proxy etc. ­čśë.
NAT Loopback kommt erst ins Spiel wenn man mit Portweiterleitungen an interne Devices auf dem Router arbeitet.
Da du ja direkt auf die RouterIP zugreifst kommt ja überhaupt kein NAT ins Spiel.

Gruß S.
Member: DRIV3R
DRIV3R Dec 13, 2022 at 17:50:24 (UTC)
Goto Top
Danke Schlepper.
Das macht Sinn.
Danke euch für die Aufklärung!