Me rasco la cabeza con esto... Estoy usando Shields Up mientras estoy conectado a un servidor que acabo de configurar con Rackspace. Aquí está mi configuración de iptables:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Guardé esto en un archivo de configuración y lo cargué usando iptables-restore. Así es como se ve mi escaneo de puertos:
¿Qué podría causar este patrón de puertos cerrados?
EDITAR: salida de iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere 127.0.0.0/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Respuesta1
¿Qué podría causar este patrón de puertos cerrados?
Un escáner de mierda. Estás agregando un
-A INPUT -j REJECT
regla que daría como resultado que su anfitrión responda con ICMP type 3 / code 3un mensaje (destino inalcanzable - puerto inalcanzable) para todos menos los puertos previamente aceptados 22, 80 y 443 (este último tampoco aparece en el escaneo). Esto no debería resultar en puertos "ocultos" de ninguna manera.
el gibsonno se puede confiary otros han hecho observaciones similares sobre el infame"¡Escudos arriba!" hace años que:
Las 'nanosondas' de GRC se conectan diligentemente () al servidor y luego continúan. Sin embargo, la prueba del puerto me dice que mi puerto HTTP está cerrado. Extraño. Muy extraño. Una mirada a los registros que estoy rastreando de esta conexión muestra que mi servidor web respondió; aún así, el programa de prueba informa que está cerrado. Repetí el ejercicio con servidores web basados en Windows y Unix y obtuve una tasa de acierto general de menos del treinta por ciento; en otras palabras, la mayoría de las veces el programa de prueba no detectaba mi servidor web abierto.
Parece que algunas cosas nunca cambian.
Como alternativa, vuelva a utilizar herramientas de código abierto disponibles públicamente.Nmapaes un escáner universal que obtendría con prácticamente cualquier distribución en un host VPS de $5 al mes. Si sólo necesita escaneos ocasionales, puede utilizar servicios nmap en línea comoel de Herramientas de dominio en línea.