問題
https://nmap.online を使ってポートスキャンを実行したところ、いくつかのポートがオープンとして報告されました。
Nmap scan report for 135.87.96.34.bc.googleusercontent.com (XXX.XXX.XXX.XXX)
Host is up (0.016s latency).
Not shown: 962 filtered ports
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE
25/tcp open smtp
43/tcp open whois
80/tcp open http
83/tcp open mit-ml-dev
84/tcp open ctf
85/tcp open mit-ml-dev
89/tcp open su-mit-tg
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
700/tcp open epp
993/tcp open imaps
995/tcp open pop3s
1084/tcp open ansoft-lm-2
1085/tcp open webobjects
1089/tcp open ff-annunc
1443/tcp open ies-lm
1935/tcp open rtmp
3389/tcp open ms-wbt-server
5222/tcp open xmpp-client
5432/tcp open postgresql
5900/tcp open vnc
5901/tcp open vnc-1
5999/tcp open ncd-conf
8080/tcp open http-proxy
8081/tcp open blackice-icecap
8085/tcp open unknown
8086/tcp open d-s-n
8088/tcp open radan-http
8089/tcp open unknown
8090/tcp open opsmessaging
8099/tcp open unknown
9100/tcp open jetdirect
9200/tcp open wap-wsp
20000/tcp open dnp
30000/tcp open ndmps
Nmap done: 1 IP address (1 host up) scanned in 399.73 seconds
それらのポートが開いていてトラフィックを受信しているのか、それとも誤検知なのかを知りたいのです。
環境
- Liferay DXP Cloud
解決
想定外のポートが開いてしまうのは、プロジェクトが共有クラスター上にあるためです。 ファイアウォールのルールは、共有クラスター上のすべてのプロジェクト間で共有されます。これは、別のプロジェクトのサービスが原因でポートが公開される可能性があることを意味します。
ポートが開いているように見えますが、外部IPを担当するクラスタ上のサービスは、ファイアウォールのルール上ではポートが開いていても、LCP.jsonで公開されていないポートに対するリクエストをそのサービスに転送しません。
ポートが external: true とマークされている場合、リクエストへの参加が許可されます。
ポートがexternalとしてマークされていない場合、リクエストはフィルタリングされます。