Estoy escaneando un servidor que debe tener un simple bastante cortafuegos usando iptables : por defecto todo se cae aparte RELATED
y ESTABLISHED
paquetes. El único tipo de NEW
paquetes permitidos son los paquetes TCP en los puertos 22 y 80 y eso es todo (no HTTPS en ese servidor).
El resultado de nmap en los primeros 2048 puertos da 22 y 80 tan abiertos, como espero. Sin embargo, algunos puertos aparecen como "filtrados".
Mi pregunta es: ¿por qué los puertos 21, 25 y 1863 aparecen como "filtrados" y los otros 2043 puertos no aparecen como filtrados?
Esperaba ver solo 22 y 80 como "abiertos".
Si es normal ver 21,25 y 1863 como "filtrado", ¿por qué no aparecen todos los otros puertos como "filtrados"?
Aquí está la salida de nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Realmente no entiendo por qué tengo 2043 puertos cerrados:
Not shown: 2043 closed ports
y no 2046 puertos cerrados.
Aquí hay un lsof lanzado en el servidor:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(tenga en cuenta que Java / Tomcat está escuchando en el puerto 8009 pero que el firewall deja caer ese puerto)
nmap
está haciendo, debería escanear usando privs raíz, usando el escaneo SYN (-sS
) y--packet-trace
. También tómese un par de minutos y lea la página del manual, se sorprenderá de las gemas que hay allíRespuestas:
La declaración de 'puerto filtrado' de nmap difiere según su método de escaneo.
El escaneo estándar (escaneo TCP si el usuario no tiene privilegios, o escaneo medio abierto -sS si el superusuario) se basa en el protocolo TCP. (llamado hanshake de 3 vías)
Un cliente (usted) emite un SYN, si el servidor responde SYN / ACK: ¡significa que el puerto está abierto !
Emite un SYN, si el servidor responde RST: ¡significa que el puerto está cerca !
Para determinar cuál es el estado real del puerto, puede:
El excelente libro " Nmap Network Discovery ", escrito por su creador Fyodor, lo explica muy bien. Yo cito
fuente
Porque en su ISP, enrutador, su administrador de red, cualquier cosa entre ellos o usted mismo los está filtrando. Estos puertos tienen una historia bastante mala, el 1863 es el puerto utilizado por el protocolo de mensajería instantánea de Microsoft (también conocido como MSN y amigos) que creo que puede (o no) haber establecido una regla específica. El SMTP parece que su ISP es el culpable y el FTP me tiene totalmente estupefacto, ya que no tengo idea de lo que podría pasarles.
fuente
Por defecto, Nmap escanea solo los 1,000 puertos más comunes para cada protocolo (tcp, udp). Si su puerto está fuera de eso, entonces no lo escaneará y, por lo tanto, no lo informará. Sin embargo, puede especificar los puertos que desea escanear con la opción -p.
fuente