5

Я использую CentOS 5.3 в контейнере openVZ, и я получаю ошибки "операция не разрешена" из Nmap.

[root@test nmap-5.21]# ./nmap scanme.nmap.org

Starting Nmap 5.21 ( http://nmap.org )
at 2010-12-12 17:03 MSK

Warning: File ./nmap-services exists,
but Nmap is using
/usr/local/share/nmap/nmap-services
for security and consistency reasons. 
set NMAPDIR=. to give priority to
files in your local directory (may
affect the other data files too).

sendto in send_ip_packet: sendto(4,
packet, 28, 0, 64.13.134.52, 16) =>
Operation not permitted

Offending packet: ICMP 127.0.0.1 >
64.13.134.52 echo request (type=8/code=0) ttl=46 id=49000
iplen=28 sendto in send_ip_packet:
sendto(4, packet, 40, 0, 64.13.134.52,
16) => Operation not permitted


Offending packet: ICMP 127.0.0.1 >
64.13.134.52 Timestamp request (type=13/code=0) ttl=49 id=23010
iplen=40

sendto in send_ip_packet: sendto(4,
packet, 40, 0, 64.13.134.52, 16) =>
Operation not permitted

Offending packet: ICMP 127.0.0.1 >
64.13.134.52 Timestamp request (type=13/code=0) ttl=56 id=36657
iplen=40

sendto in send_ip_packet: sendto(4,
packet, 28, 0, 64.13.134.52, 16) =>
Operation not permitted

Offending packet: ICMP 127.0.0.1 >
64.13.134.52 echo request (type=8/code=0) ttl=51 id=43181
iplen=28

Note: Host seems down. If it is really
up, but blocking our ping probes, try
-PN Nmap done: 1 IP address (0 hosts up) scanned in 3.15 seconds

У меня нет установленных правил iptables.

Как я могу заставить это работать?

2 ответа2

2

Возможно, ваш контейнер имеет интерфейс venet , который имеет ограничения безопасности. Для отправки широковещательных и других нестандартных пакетов необходимо использовать veth- интерфейсы. См. Различия между венецией и вете.

1

Я знаю, что этот вопрос старый, но я столкнулся с этой проблемой в Debian 8 и CentOS 7 и не смог найти ответ (это лучший результат поиска). Похоже, что проблема была в разгрузке TCP и сегментации, и вы можете отключить ее, установив "ethtool" и запустив:

ethtool -K  eth0  rx off  tx off gso off tso off

Возможно, стоит посмотреть, какие параметры были изменены с помощью этой команды:

ethtool --show-offload  eth0

Любые функции, которые вы там видите, можно включить / отключить, указав их как аббревиатуру (например, "generic-segmentation-offload" = "gso"). Они включены по какой-то причине, поэтому вы захотите узнать, что они делают.

А вот специфичный для CentOS постоянный ответ перезагрузки.

Редактирование: поскольку защита недействительных и искаженных пакетов встроена в ядро, необходимо также разрешить исходящие недействительные пакеты, поскольку Nmap использует забавные методы для сканирования:

iptables -I OUTPUT -m состояние --state INVALID -j ПРИНЯТЬ

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .