Open Ports on external interface

Well 389 is LDAP, 25 and 110 are SMTP and POP3

Not sure why LDAP is open but do you have any DNAT mappings to servers inside the firewall?

These are my NAT rules (SNAT/DNAT):

eth1_Network__ -> Any / Any   MASQ__eth2  None
eth0_Network__ -> Any / Any   MASQ__eth2  None

by the way, there is no POP3-Server on my network, so i really don't know why port 110 is open.
A friend of me scanned my firewall again (from the internet) with another scanner and got the same results.

Wierd, the only thing that shows non-stealth on my setup is IDENTD everything else is stealth

Have you tried GRC.com they have a port probe
thats free to use. Or if you want to send me a private message I have some tools that I could use to test for you.

Wierd, the only thing that shows non-stealth on my setup is IDENTD everything else is stealth

Have you tried GRC.com they have a port probe
thats free to use. Or if you want to send me a private message I have some tools that I could use to test for you.

Hi,

open means not filtered, a scanner gets a port closed information?

If not login as root and check "netstat -nap" to see
which application uses the port.

read you
o|iver

I keep scanning the boards to find an answer but do not see anything.  I have the same problem - ports 25 (smtp) and 110 (pop-3) are "open" on my external interface.  This is really annoying since this has been the case for several months and I just discovered it.

I am not running any mail servers on my internal network and, as far as I can tell, have no ASL setting that should open these ports.  When I look in the reports, I do not see anything listening on these ports, but when I scan remotely (using 2 different tools), the ports are open.

@B love

that's what I found with a quick nmap run!

 

code:

---

 [xxx@xxx]$ nmap -sT -P0 xxx.xxx.xxx.xxx

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on dsl-xxx-xxx-xxx-xxx.telocity.com (xxx.xxx.xxx.xxx):
(The 1541 ports scanned but not shown below are in state: filtered)
Port       State       Service
53/tcp     open        domain


Nmap run completed -- 1 IP address (1 host up) scanned in 873 seconds 

---

This would mean, if you do not have portscandetection enabled,
that you DNS proxy listens on the external interface.
Remove it from Proxies/DNS!

read you
o|iver

Suppentrulli - This has nothing to do with your original question but did you mean to give the DMZ full access to your LAN (rule 4)? Or am I not reading your rules correctly? Just curious.

Farid

Hmmm... so I just did another scan and now only port 53 appears open (this is intentional).  So, I guess that is good news but I can not figure out why I was also getting ports 25 and 110 when I did my previous scan.  I used 2 different scanners, so I feel pretty confident that these ports were really open.  Well, I guess I am happy (I know I should be nervous, but I will accept happy).

Okay, I finally figured out what was happening...

Astaro rocks.  Astaro is great.

Shortly before doing my scan I switched to a new laptop.  In the process I took the time to update one of my scanning utilities.  When it reported ports 25 and 110 open, I assumed it was a bug in the new version so I verified it with a different scanning utility and got the same results.  

I updated Astaro and checked the firewall from a different remote server... everything looked great (ports 25 and 110 were not open).  

So today I did a scan and found the ports open again.  At this point I knew it must be something with my laptop.  It was my virus scanner!  (yes, yes... that should have been obvious)  So, the virus scanner on my laptop will list those ports as open for any address.      

Thanks for all the help and I apologize for wasting anybody's time.  Astaro rocks.

B-