Почему некоторые порты сообщаются с помощью nmap, а не других?

Я сканирую сервер, который должен иметь довольно простой брандмауэр, используя iptables : по умолчанию все DROPped, кроме RELATED и ESTABLISHED пакетов. Единственными допустимыми типами NEW пакетов являются TCP-пакеты на портах 22 и 80, и это все (HTTPS на этом сервере).

Результат nmap на первых портах 2048 дает 22 и 80 открытым, как я ожидаю. Однако несколько портов отображаются как «отфильтрованные».

Мой вопрос: почему порты 21, 25 и 1863 отображаются как «отфильтрованные», а 2043 другие порты не отображаются как отфильтрованные?

Я ожидал увидеть только 22 и 80 как «открытых».

Если нормально видеть 21,25 и 1863 как «отфильтрованные», то почему не все остальные порты появляются как «отфильтрованные» ??

Вот вывод nmap :

 # nmap -PN 94.xx.yy.zz -p1-2048 Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ... Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz) Host is up (0.0023s latency). Not shown: 2043 closed ports PORT STATE SERVICE 21/tcp filtered ftp 22/tcp open ssh 25/tcp filtered smtp 80/tcp open http 1863/tcp filtered msnp 

Я действительно не понимаю, почему у меня 2043 закрытых порта:

 Not shown: 2043 closed ports 

а не 2046 закрытых портов.

Здесь lsof запущен на сервере:

 # lsof -i -n COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN) named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN) named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN) sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED) sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED) java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN) java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN) java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN) 

(обратите внимание, что Java / Tomcat прослушивает порт 8009, но этот порт DROPped брандмауэром)

  • Используйте awk для поиска всех портов для каждого IP-адреса, у которых есть https open
  • Как удаленно определить utorrent-версию другой машины с nmap?
  • nmap не показывает sshd?
  • Как просмотреть все имена устройств в локальной сети?
  • Как сделать порт кажущимся открытым каждый раз, когда он сканируется с nmap независимо от состояния открытия / закрытия?
  • Остановить команду bash без сценария убийства
  • Fedora 24: порты отображаются как открытые при сканировании с сервера, но закрываются, когда они отображаются с внешней стороны
  • Сканирование Nmap для устройств с поддержкой SNMP
  • 2 Solutions collect form web for “Почему некоторые порты сообщаются с помощью nmap, а не других?”

    Операция «Отфильтрованный порт» от nmap отличается по вашему методу сканирования.

    Стандартное сканирование (TCP Scan, если непривилегированный пользователь или Half-Open scan -sS, если суперпользователь) использует протокол TCP. (названный 3-way hanshake)

    • Клиент (вы) выдает SYN, если сервер отвечает SYN / ACK: это означает, что порт открыт !

    • Вы выдаете SYN, если сервер отвечает RST: это означает, что порт близок !

    • Вы выдаете SYN, если сервер не отвечает или не отвечает с ошибкой ICMP: это означает, что порт фильтруется . Вероятно, межсетевой экран IDS / statefull блокирует ваш запрос)

    Чтобы определить реальный статус порта, вы можете:

    • используйте опцию -sV или -A (определение версии, это поможет вам определить, что является статусом этого порта.
    • используйте –tcp-flags SYN, FIN, чтобы попробовать обходить fw.
    • использовать другие типы сканирования ( http://nmap.org/book/man-port-scanning-techniques.html )

    Отличная книга « Nmap Network Discovery », написанная ее создателем Федором, объясняет это очень хорошо. я цитирую

    filter: Nmap не может определить, открыт ли порт, потому что фильтрация пакетов не позволяет его датчикам добраться до порта. Фильтрация может осуществляться с помощью специального устройства брандмауэра, правил маршрутизатора или программного обеспечения брандмауэра на базе хоста. Эти порты расстраивают атакующих, потому что они предоставляют такую ​​небольшую информацию. Иногда они отвечают сообщениями об ошибках ICMP, такими как код 3-го кода 13 (назначение недоступно: административно запрещено), но фильтры, которые просто бросают пробники без ответа, гораздо чаще встречаются. Это заставляет Nmap повторять несколько раз только в том случае, если зонд был сброшен из-за перегрузки сети, а не фильтрации. Такая фильтрация замедляет сканирование.

    open | filter: Nmap помещает порты в это состояние, когда он не может определить, открыт или фильтрован порт. Это происходит для типов сканирования, в которых открытые порты не дают ответа. Отсутствие ответа также может означать, что пакетный фильтр сбросил зонд или какой-либо ответ, который он вызвал. Поэтому Nmap не знает точно, открыт ли порт или фильтруется. Протоколы UDP, IP, FIN, NULL и Xmas классифицируют порты таким образом.

    closed | filter: Это состояние используется, когда Nmap не может определить, закрыт или отключен порт. Он используется только для проверки Id ID Idle, рассмотренного в Разделе 5.10, «TCP Idle Scan (-sl)

    почему порты 21, 25 и 1863 отображаются как «отфильтрованные», а 2043 другие порты не отображаются как отфильтрованные?

    Потому что в вашем интернет-провайдере, маршрутизаторе, сетевом администраторе, что-либо между ними или самим фильтром. Эти порты имеют довольно плохую историю, 1863 – это порт, используемый протоколом обмена мгновенными сообщениями Microsoft (он же MSN и друзьями), который, я полагаю, может (или не обязательно) установить определенное правило. SMTP-сервер кажется, что ваш интернет-провайдер является виновником и FTP, что я полностью ошеломлен, так как я понятия не имею, что с ними может случиться.

    Linux и Unix - лучшая ОС в мире.