Chello Exchange Server

[g17]

Wenn das keine SYNs sind was wäre es dann?

Log USR8000 chello+
__________________________________________________ ___________________

Thursday, February 26, 2004 00:41:19 - Unrecognized access from 212.186.18.138:2684 to TCP port 6129
Thursday, February 26, 2004 00:41:25 - Unrecognized access from 212.186.18.138:2684 to TCP port 6129
Thursday, February 26, 2004 00:43:31 - Unrecognized access from 212.186.18.138:3743 to TCP port 135
Thursday, February 26, 2004 00:43:34 - Unrecognized access from 212.186.18.138:3743 to TCP port 135
Thursday, February 26, 2004 00:43:40 - Unrecognized access from 212.186.18.138:3743 to TCP port 135
__________________________________________________ ___________________



g17


PS.: Bei den Ports 137-139 mag es stimmen.

[TNC.Phil]

Code:

nmap -p 135 212.186.25.XYZ

Starting nmap 3.27 ( www.insecure.org/nmap/ ) at 2004-02-26 20:09 CET
Interesting ports on chello212186025XYZ.405.14.vie.surfer.at (212.186.25.XYZ):
Port       State       Service
135/tcp    filtered    loc-srv

am XYZ kam nie was an, ergo auch kein RST retour...

(ja, ich kann auf 135 raus und auf XYZ dropt die FW keine con's auf den port)

[g17]

Zitat:

Original geschrieben von TNC.Phil

Code:

nmap -p 135 212.186.25.XYZ

Starting nmap 3.27 ( www.insecure.org/nmap/ ) at 2004-02-26 20:09 CET
Interesting ports on chello212186025XYZ.405.14.vie.surfer.at (212.186.25.XYZ):
Port       State       Service
135/tcp    filtered    loc-srv

am XYZ kam nie was an, ergo auch kein RST retour...

(ja, ich kann auf 135 raus und auf XYZ dropt die FW keine con's auf den port)

Nach meinem Log siehst ja das was ankommt,sonst würde es ja der NAT-Router hinter dem Modem nicht sehen, es tritt wahrscheinlich genau der umgekehrte Fall ein, SYN kommt an, aber wahrscheinlich kein SYN-ACK od. RST retour.

__________________________________________________ ___________________
nmap reports filtered ports whenever packets are silently dropped. if you use
block return-rst instead of block for tcp connections, nmap cannot
differentiate between closed and filtered ports for tcp connections.
__________________________________________________ ___________________

http://archives.neohapsis.com/archiv...2-04/0606.html

Ist ungefähr auch der Tenor in allen anderen Diskussionen.


g17

[TNC.Phil]

Zitat:

Original geschrieben von g17

nmap reports filtered ports whenever packets are silently dropped. if you use
block return-rst instead of block for tcp connections, nmap cannot
differentiate between closed and filtered ports for tcp connections.

das ist BIG BIG BULLSHIT

gerade wenn ein RST retour kommt zeigt das eindeutig einen closed port an - wann sonst sollte nmap einen port als "closed" report-en, huh?

aber tut nichts zur sache, hab am XYZ ja auch mit iptraf mitgelogt - da kam auch nix an

[valo]

was hat port 135 und der umstand, dass er von chello blockiert wird mit exchange zu tun?

[TNC.Phil]

Zitat:

Original geschrieben von valo
was hat port 135 und der umstand, dass er von chello blockiert wird mit exchange zu tun?

das hier:

Zitat:

Microsoft Remote Procedure Call is a Microsoft implementation of remote procedure calls (RPCs). TCP port 135 is actually only the RPC Locator Service, which is like the registrar for all RPC-enabled services that run on a particular server. In Exchange 2000, the Routing Group Connector uses RPC instead of SMTP when the target bridgehead server is running Exchange 5.5. Also, some administrative operations require RPC.

[LouCypher]

@TNC: bitte nicht laut sagen wenn das unsere x exchange server bemerken die momentan ausschliesslich über port 25 nach aussen gehen gibts einen aufstand.

Das wenn outlook auf den exchange zugreift andere ports verwendet werden ist schon klar, nur passiert das lokal daher sind die port irrelevant.

[g17]

Wir werden das mit dem getroppten RST jetzt nicht klären können.

Aber gerade einen Host aus dem Log genommen, wie erklärst du das:

__________________________________________
Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-02-27 10:28 CET
Host chello212186018138.404.14.vie.surfer.at (212.186.18.138) appears to be up ... good.
Initiating Connect() Scan against chello212186018138.404.14.vie.surfer.at (212.186.18.138) at 10:28
Adding open port 135/tcp
The Connect() Scan took 0 seconds to scan 1 ports.
Interesting ports on chello212186018138.404.14.vie.surfer.at (212.186.18.138):
PORT STATE SERVICE
135/tcp open msrpc

Nmap run completed -- 1 IP address (1 host up) scanned in 0.453 seconds
g17@para:~>
_______________________________________


________________________________________

para:/home/g17 # nmap -sS -v -O -T4 212.186.18.138

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-02-27 10:32 CET
Host chello212186018138.404.14.vie.surfer.at (212.186.18.138) appears to be up ... good.
Initiating SYN Stealth Scan against chello212186018138.404.14.vie.surfer.at (212.186.18.138) at 10:32
Adding open port 135/tcp
Adding open port 113/tcp
Adding open port 5000/tcp
Adding open port 1025/tcp
The SYN Stealth Scan took 32 seconds to scan 1657 ports.
For OSScan assuming that port 113 is open and port 1 is closed and neither are firewalled
WARNING: RST from port 113 -- is this port really open?
WARNING: RST from port 113 -- is this port really open?
WARNING: RST from port 113 -- is this port really open?
WARNING: RST from port 113 -- is this port really open?
WARNING: RST from port 113 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on chello212186018138.404.14.vie.surfer.at (212.186.18.138):
(The 1635 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
53/tcp filtered domain
67/tcp filtered dhcpserver
69/tcp filtered tftp
111/tcp filtered rpcbind
113/tcp open auth
135/tcp open msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
201/tcp filtered at-rtmp
202/tcp filtered at-nbp
203/tcp filtered at-3
204/tcp filtered at-echo
205/tcp filtered at-5
206/tcp filtered at-zis
207/tcp filtered at-7
208/tcp filtered at-8
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP

Nmap run completed -- 1 IP address (1 host up) scanned in 34.983 seconds
__________________________________________


Host sollte noch up sein

g17

[valo]

Zitat:

Original geschrieben von valo
was hat port 135 und der umstand, dass er von chello blockiert wird mit exchange zu tun?

das hier:

Zitat:

Microsoft Remote Procedure Call is a Microsoft implementation of remote procedure calls (RPCs). TCP port 135 is actually only the RPC Locator Service, which is like the registrar for all RPC-enabled services that run on a particular server. In Exchange 2000, the Routing Group Connector uses RPC instead of SMTP when the target bridgehead server is running Exchange 5.5. Also, some administrative operations require RPC.[/b]

das braucht der exchange aber nicht, um emails senden und empfangen zu können. das ist exchange kommunikation unter sich

[chrisne]

die meisten leute kommen hier von thema ab.

und kurz gesagt, ja kannst du, darfst aber nicht.
ich habe schon seit jahren einen exchange über chello rennen.

chris