skenování firewallu

[donjirka]

Ahoj, pořeboval bych poradit jakým způsobem elegantně oskenovat otevřené porty z vnitřní sítě do internetu.
Napadlo mě, že to udělám pomocí dvou počítačů.
Jeden umístěný v internetu s firewallem v módu allow a nainstalovanným třeba apache. Potom bych vytvořil pravidlo v iptables, které by směrovaly všechny požadavky na porty na apache třeba port 80 (s napsáním bych potřeboval pomoct).
Druhý počítač v místní síti kde budu spouštět nmap -p 1-65535 "adresa v netu".

Máte někdo lepší nápad?

[jmp]

jen je dobré vědět, že někteří považují portscan za útok...

[donjirka]

Ahoj, to mě moc netrápí, protože se jedná o mou síť, a navíc je můj provider o akci informovaný.
Má tedy někdo nápad jak nastavit iptables, nebo jak udělat test lépe?

[ntz_reloaded]

Nechapu moc dobre dotaz. Nac to skenovat kdyz je to tvoje.
iptables-save ti ukaze pravidla, netstat -tulnp sluzby, pokud bys to prece chtel skenovat, tak nmap -vv -sT -P0 host

[donjirka]

Jedná se o FW od Cisco a chci vědět jestli to mám dobře nastavené. (nejsem v tom kovaný konfigurace je poměrně složitá)
No nic pomohl jsem si sám, vytvořil jsem elegantnější postup. Takže pokud někdo bude potřebovat něco podobného, tak poskytuji malý návod.
Vezmu dva notebooky, jeden dám do LAN a druhý do WAN.
Na NTB ve WAN napíši pravidla:
iptables -N log
iptables -A log -j LOG --log-prefix "Test_port_jirka: "
iptables -A log -j RETURN
iptables -I INPUT -s xx.xx.xx.xx -j log

To by mělo zachytit jen packety směrované z adresy xx.xx.xx.xx což je moje venkovní IP NTB na LAN.

V NTB na LAN spustím pouze:
nmap -p 1-65535 yy.yy.yy.yy

Jednoduše jsou všechny packety z IP xx.xx.xx.xx směrované do logu a pokud tam uvidím záznam tak vím, že jsem to nastavil špatně.

[ntz_reloaded]

Ja to porad nechapu.