Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

UFW et NMAP incohérent - ouverture de port

Pouli_LR

Bonjour !
Je viens de monter un petit serveur 16.04 sur une vielle machine. simplement pour le plaisir d'apprendre des trucs en autodidacte.
Je bloque sur la configuration du firewall...

tyv@serveur-ubuntu16:/$ sudo ufw status
État : actif

Vers                       Action      De
----                       ------      --
80                         ALLOW       Anywhere                  
21                         ALLOW       Anywhere                  
22                         ALLOW       Anywhere                  
25565                      ALLOW       Anywhere                  
80 (v6)                    ALLOW       Anywhere (v6)             
21 (v6)                    ALLOW       Anywhere (v6)             
22 (v6)                    ALLOW       Anywhere (v6)             
25565 (v6)                 ALLOW       Anywhere (v6)

et depuis un autre client nmap me donne ca :

Starting Nmap 7.01 ( https://nmap.org ) at 2016-09-18 00:51 CEST
Nmap scan report for serveur-ubuntu16.home (192.168.1.152)
Host is up (0.032s latency).
Not shown: 997 filtered ports
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 11.67 seconds

donc tout passe sauf le 25565 ! Scandale, je veux jouer à Minecrafte moi, et puis ce port ou un autre je ne comprends pas pourquoi celui là reste fermé.

Starting Nmap 7.01 ( https://nmap.org ) at 2016-09-18 00:53 CEST
Nmap scan report for serveur-ubuntu16.home (192.168.1.152)
Host is up (0.0047s latency).
PORT      STATE  SERVICE
25565/tcp closed minecraft

Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds

bref, je ne vois pas comment je peut avoir allow d'un coté et closed de l'autre, j'ai dus loupé un truc

iptables semble cohérent :

Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:fsp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:25565
ACCEPT     udp  --  anywhere             anywhere             udp dpt:25565

Enfin, avec UFW désactivé, 25565 apparaît toujours comme fermé.

Avez-vous des pistes ? désactiver UFW et gérer iptables a la main ? (ça a l'air compliqué iptables mais je suis arrivé jusqu'ici je vais pas m’arrêter)
Merci pour le coup de main!

PS: Énorme merci à la communauté, je suis ubuntero depuis 9ans, et c'est la première fois que ne ne trouve pas mon bonheur dans les tuto / forum.

Alex Ample

Bonjour,

Le port Minecraft apparaît « fermé » ? il faudrait d'abord le vérifier avec Nmap en mode graphique sur le PC lui même, et pas sur un autre PC client peut être bloqué par le firewall de la box ou du routeur ( à vérifier ), s'il est vraiment fermé d'après Nmap c'est que le service n'est pas en écoute.

Pouli_LR

Bonjour,
Merci a toi.
Alors pour l'instant je suis en local, j'ai déjà fait ma redirection de port sur mon routeur mais là je lançais nmap depuis un autre pc de mon réseau.
Comme ça ne coûte rien, j'ai installé nmap sur le serveur lui même et je me suis "autoscanné", même résultat.

Donc pour l'instant je me documente sur iptables et essaye de suivre des tutos... En soit minecraft je m'en fiche un peu c'est surtout pour comprendre comment ça marche.
Pourquoi ufw fait ce que je veux sur les ports "usuels" mais que mes règles sur un autre port n'impact pas iptables.
Par exemple je fais tout çà avec ssh, j'ai ouvert le port qui vas bien avec ufw, redirigé sur mon routeur, maintenant je peut me connecté a un terminal depuis mon téléphone en 4G, idem pour ftp...
Je suspect un profil par défaut ou un truc du genre.

Merci !

bruno

Bonjour,

Comme l'a dit Alex si un port apparaît comme fermé (closed) c'est qu'aucun service n'est en écoute sur ce port. C'est confirmé par tes différents essais : même résultat avec ufw désactivé et directement sur le serveur.

Avant toute chose assure-toi que tu as bien un service qui est en écoute sur le port 25565, avec par exemple sur le serveur :

netstat -tunlp

Pouli_LR

AAAH !!
Je me cantonais à closed=fermé mais en faite c'est plus "inactif/non utilisé" dans nmap ...

Bon bas du coup ça marche nickel, prochaine étape, configurer iptables plus proprement et comprendre screen...

Joyeux dimanche Ubunteros

bruno

Pouli_LR a écritAAAH !!
Je me cantonais à closed=fermé mais en faite c'est plus "inactif/non utilisé" dans nmap ...

Non. Un port « non utilisé », plus exactement sur lequel aucun service n'est en écoute est fermé. Un port est ouvert sis et( seulement si un service est en écoute dessus. D'où l'inutilité du pare-feu dans de nombreux cas…

jlmas

Extrait du man de nmap (qui est très didactique et en français)

Par défaut, Nmap scanne tous les ports jusqu'au 1 024 inclusivement ainsi que les ports supérieurs listés dans le fichier nmap-services pour le ou les protocoles
demandés).

En clair, il ne scanne pas tout. Si tu veux scanner un port peu courant utilise l'option -p numéro_de port de nmap

nmap -p 48562 serveur_a_scanner.example.com

Pouli_LR

Salut,
Désolé j'ai pris un peu de temps avant de m'y remettre.

@jlmas, oui j'avais noté ça (j'adore nmap...)
Bruno, avais raison, j'ai mis la charrue avant les bœuf en voulant paramétrer mon firewall avant de lancer le service.
Bon, au moins j'ai appris un truc (qui me semblait pas évident avant dans l'idée que j'avais du firewall).

Merci tout le monde
🙂