Tengo un servidor AWS ejecutando Linux. Cuando hago una operación netstat -lntpdesde la propia máquina, me muestra algunos puertos abiertos (como se esperaba), pero no muestra 445 o 139. Esto tiene sentido, ya que nunca configuré samba en esta máquina. Además, cuando enumero los procesos en ejecución y grep for smbo samba, no muestra nada en ejecución.
Al observar las reglas del firewall para el servidor, veo que solo permite el tráfico entrante en los puertos 80 y 22. Permite el tráfico saliente en todos los puertos hacia todos los destinos, pero no creo que esto sea relevante.
El problema es que cuando hago una nmapdesde fuera de la red, me muestra que el puerto 139 y 445 están cerrados. ¿Porqué es eso? Tengo entendido que "cerrado" significa que el firewall permite que los paquetes lleguen al servidor, pero no hay nada escuchando en el puerto. ¿Por qué el firewall deja pasar el tráfico?
Respuesta1
Tengo entendido que "cerrado" significa que el firewall permite que los paquetes lleguen al servidor, pero no hay nada escuchando en el puerto. ¿Por qué el firewall deja pasar el tráfico?
"Cerrado" significa que nmap recibió un paquete TCP RST, que es de hecho cómo se supone que deben responder los hosts IP cuando no hay nada escuchando en el puerto.
Sin embargo, nmap no sabe si ese paquete de reinicio vino del host real o si fuefalsificado por un firewallpor el camino. (De hecho, muchos firewalls están configurados para rechazar explícitamente los intentos de conexión y no ignorarlos silenciosamente; esto evita tiempos de espera prolongados en el lado del cliente).
Podría ser que el firewall de su servidor utilice
reject with tcp-reseto similar.También podría ser que la red que estás escaneandodeestá configurado para bloquear todas las conexiones SMB salientes como medida de seguridad (por ejemplo, para evitar que las estaciones de trabajo comuniquen NTLM con servidores maliciosos) y está generando los 'RST'.
Incluso podría ser que elISPdesde el que está escaneando, o el ISP en el que está alojado su servidor, está bloqueando las conexiones SMB a través de su WAN para evitar la posible propagación de malware (como el antiguo gusano Conficker).
Si observa los paquetes usando tcpdump, un RST falsificado por un middlebox será, por supuesto, invisible para el servidor (porque el servidor no lo envió), y dichos paquetespodríatienen un TTL sospechosamente diferente de las respuestas reales que genera el servidor.
Úselo nmap --reasonpara ver por qué muestra un estado específico. Tenga en cuenta que aunque nmap considera que un TCP RST indica "cerrado" (ya que el host no aceptó conexiones), algunas otras herramientas en realidad lo llaman "abierto" (pensando que el firewall permitió el paso de los paquetes).