Por que algumas portas relatadas pelo nmap são filtradas e não as outras?

Estou escaneando um servidor que deve ter um firewall bastante simples usando o iptables : por padrão, tudo está inclinado além de pacotes RELATEDe ESTABLISHEDpacotes. O único tipo de NEWpacotes permitido são os pacotes TCP nas portas 22 e 80 e é isso (não há HTTPS nesse servidor).

O resultado do nmap nas primeiras portas 2048 fornece 22 e 80 como abertos, como eu esperava. No entanto, algumas portas aparecem como "filtradas".

Minha pergunta é: por que as portas 21, 25 e 1863 aparecem como "filtradas" e as 2043 outras portas não aparecem como filtradas?

Eu esperava ver apenas 22 e 80 como "abertos".

Se é normal ver 21,25 e 1863 como "filtrado", por que todas as outras portas também não aparecem como "filtradas"?

Aqui está a saída do nmap :

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

Realmente não entendo por que tenho 2043 portas fechadas:

Not shown: 2043 closed ports

e não 2046 portas fechadas.

Aqui está um lsof lançado no servidor:

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(observe que Java / Tomcat está escutando na porta 8009, mas essa porta está DROPped pelo firewall)

A instrução 'Porta filtrada' do nmap difere de acordo com o método de verificação.

A varredura padrão (varredura TCP se usuário não privilegiado ou varredura semi-aberta -sS se superusuário) depende do protocolo TCP. (nomeado hanshake de 3 vias)

• Um cliente (você) emite um SYN, se o servidor responder SYN / ACK: significa que a porta está aberta !

• Você emite um SYN, se o servidor responder ao RST: significa que a porta está fechada !

• Você emite um SYN, se o servidor não responder ou responder com erro ICMP: significa que a porta está filtrada . É provável que um firewall IDS / statefull bloqueie sua solicitação)

Para descobrir qual é o status real da porta, você pode:

• use a opção -sV ou -A (detecção de versão, ele ajudará a determinar qual é o status dessa porta.
• use --tcp-flags SYN, FIN para tentar ignorar o fw.
• use outros tipos de verificação ( http://nmap.org/book/man-port-scanning-techniques.html )

O excelente livro " Nmap Network Discovery ", escrito por seu criador Fyodor, explica isso muito bem. Eu cito

filtrado: o Nmap não pode determinar se a porta está aberta porque a filtragem de pacotes impede que suas análises cheguem à porta. A filtragem pode ser de um dispositivo de firewall dedicado, regras de roteador ou software de firewall baseado em host. Essas portas frustram os invasores porque fornecem muito pouca informação. Às vezes, eles respondem com mensagens de erro do ICMP, como o código 3 do tipo 3 (destino inacessível: comunicação proibida administrativamente), mas os filtros que simplesmente descartam análises sem responder são muito mais comuns. Isso força o Nmap a tentar novamente várias vezes, caso a sonda tenha caído devido ao congestionamento da rede, em vez de filtrar. Esse tipo de filtragem diminui drasticamente a digitalização.

abrir | filtrado: o Nmap coloca portas nesse estado quando não é possível determinar se uma porta está aberta ou filtrada. Isso ocorre para os tipos de verificação nas quais as portas abertas não dão resposta. A falta de resposta também pode significar que um filtro de pacotes descartou a sonda ou qualquer resposta que provocou. Portanto, o Nmap não sabe ao certo se a porta está aberta ou sendo filtrada. As verificações UDP, protocolo IP, FIN, NULL e Xmas classificam as portas dessa maneira.

closed | filter: Este estado é usado quando o Nmap não consegue determinar se uma porta está fechada ou filtrada. Ele é usado apenas para a verificação ociosa de ID de IP discutida na Seção 5.10, "Verificação ociosa de TCP (-sl)

por que as portas 21, 25 e 1863 aparecem como "filtradas" e as 2043 outras portas não aparecem como filtradas?

Porque no seu ISP, roteador, administrador da rede, qualquer coisa entre eles ou você mesmo os está filtrando. Essas portas têm um histórico bastante ruim; 1863 é a porta usada pelo protocolo de mensagens instantâneas da Microsoft (também conhecido como MSN e amigos) que acredito que você possa (ou não) ter definido uma regra específica. O SMTP parece que o seu ISP é o culpado e o FTP me deixou totalmente perplexo, pois não tenho idéia do que poderia acontecer com eles.

Por padrão, o Nmap verifica apenas as 1.000 portas mais comuns para cada protocolo (tcp, udp). Se a sua porta estiver fora dela, ela não fará a varredura e, portanto, não a reportará. No entanto, você pode especificar as portas que deseja verificar com a opção -p.