Hay un activo ufw
en una PC con Linux. La salida de nmap -sT -O localhost
es:`
Starting Nmap 6.40 ( http://nmap.org ) at 2019-05-27 22:59 EEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00019s latency).
All 1000 scanned ports on localhost (127.0.0.1) are closed
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port` ...
La salida de netstat -tupln
es:
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.1.1:xxx 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:8716 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:36678 0.0.0.0:* -
udp 0 0 127.0.1.1:xxx 0.0.0.0:* -
udp 0 0 0.0.0.0:xxx 0.0.0.0:* -
udp6 0 0 :::5353 :::* -
udp6 0 0 :::5635 :::* -
udp6 0 0 :::49355 :::* -
Entonces, si los 1000 puertos están cerrados, ¿cómo se conecta la PC a Internet (porque está conectada)? Y si el puerto xxx en el host local está ESCUCHANDO, ¿por qué nmap
no puedo detectarlo?
¿Cuál es la diferencia entre los puertos del localhost y los puertos del...eth0?
¿Hay 65535 puertos para el host local y otros 65535 puertos para la interfaz de red eth0?
Respuesta1
Entonces, si los 1000 puertos están cerrados, ¿cómo se conecta la PC a Internet (porque está conectada)? Y si el puerto xxx en el host local está ESCUCHANDO, ¿por qué nmap no puede detectarlo?
Cuando se conecta a algún sitio remoto, el programa local abre un socket contra el servidor, identificado por el puerto local, el puerto remoto y la IP remota. No recibirá paquetes que no coincidan con esta tupla.
El puerto local normalmente se selecciona entrelos puertos efímeros. Nmap no los escanea de forma predeterminada y tampoco se muestran, ya que nmap no coincide con la tupla del socket.
Lo que busca nmap son sockets abiertos que acepten conexiones. Según nmap tienes uno, pero lo has enmascarado, por lo que no sabemos si nmap verifica ese puerto. Hay 65535 puertos, pero de forma predeterminada, nmap solo escanea alrededor de 1000 de ellos.
¿Cuál es la diferencia entre los puertos del localhost y los puertos del...eth0?
Las cosas que escuchen en 127.0.0.1 solo recibirán paquetes en la interfaz loopback. Las cosas que escuchan en 0.0.0.0 o en un dispositivo específico recibirán paquetes de todos (0.0.0.0) o de ese dispositivo específico.
¿Hay 65535 puertos para el host local y otros 65535 puertos para la interfaz de red eth0?
Si y no. Una conexión consta de una tupla de puerto local, puerto remoto, IP remota y posiblemente IP local. Puede tener diferentes servicios escuchando en el mismo puerto en dos IP diferentes.