为什么要过滤nmap报告的某些端口，而不过滤其他端口？

我正在扫描使用iptables的服务器，该服务器应该具有一个非常简单的防火墙：默认情况下，除RELATED和ESTABLISHED数据包外，所有内容都被丢弃。NEW允许的唯一数据包类型是端口22和80上的TCP数据包，仅此而已（该服务器上没有HTTPS）。

正如我预期的那样，在前2048个端口上执行nmap的结果使22和80处于打开状态。但是，一些端口显示为“已过滤”。

我的问题是：为什么端口21、25和1863显示为“已过滤”，而2043其他端口却未显示为已过滤？

我预计只会看到22和80为“开放”。

如果将21,25和1863视为“已过滤”是正常的，那么为什么所有其他端口也不也都显示为“已过滤”！

这是nmap输出：

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

我真的不明白为什么我有2043个封闭端口：

Not shown: 2043 closed ports

而不是2046关闭的端口。

这是在服务器上启动的lsof：

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

（请注意，Java / Tomcat正在侦听端口8009，但防火墙拒绝了该端口）

根据您的扫描方法，nmap的“已过滤端口”语句有所不同。

标准扫描（如果为非特权用户，则为TCP扫描；如果为超级用户，则为Half-Open scan -sS）取决于TCP协议。（命名为3向hanshake）

• 如果服务器回复SYN / ACK，则客户端（您）将发出SYN消息：这意味着端口已打开！

• 如果服务器回复RST，则发出SYN消息：这意味着该端口已关闭！

• 如果服务器不响应或出现ICMP错误，则发出SYN消息：这意味着端口已过滤。可能是IDS /全状态防火墙阻止了您的请求）

要弄清端口的实际状态，可以：

• 使用-sV或-A选项（版本检测），它将帮助您确定此端口的状态。
• 使用--tcp-flags SYN，FIN尝试绕过fw。
• 使用其他扫描类型（http://nmap.org/book/man-port-scanning-techniques.html）

由其创造者Fyodor撰写的出色的《Nmap Network Discovery》一书很好地解释了这一点。我引用

已过滤：Nmap无法确定端口是否打开，因为数据包过滤会阻止其探针到达端口。过滤可以来自专用防火墙设备，路由器规则或基于主机的防火墙软件。这些端口使攻击者感到沮丧，因为它们提供的信息很少。有时，它们以ICMP错误消息响应，例如类型3代码13（目标不可访问：在管理上被禁止通信），但是仅丢弃探针而不响应的过滤器更为常见。这迫使Nmap重试几次，以防万一由于网络拥塞而不是过滤导致探针被丢弃。这种过滤会大大降低扫描速度。

open | filtered：当无法确定端口是打开还是已过滤时，Nmap将端口置于此状态。对于打开端口不响应的扫描类型，会发生这种情况。缺乏响应还可能意味着数据包过滤器丢弃了探针或其引发的任何响应。因此，Nmap无法确定端口是打开还是被过滤。UDP，IP协议，FIN，NULL和Xmas扫描以这种方式对端口进行分类。

close | filtered：当Nmap无法确定端口是关闭还是过滤时，使用此状态。它仅用于第5.10节“ TCP空闲扫描（-sl）”中讨论的IP ID空闲扫描

为什么端口21、25和1863显示为“已过滤”，而2043其他端口却未显示为已过滤？

因为在您的ISP，路由器，网络管理员，它们之间的任何东西，或者您自己在过滤它们。这些端口的历史非常糟糕，1863年是Microsoft即时消息协议（又名MSN和朋友）使用的端口，我相信您可能（也可能没有）设置了特定的规则。SMTP似乎是您的ISP的罪魁祸首，而FTP让我完全不知所措，因为我不知道它们会发生什么。

默认情况下，Nmap仅扫描每种协议（tcp，udp）的最常见的1,000个端口。如果您的端口不在该端口，则它不会扫描它，因此不会报告它。但是，您可以使用-p选项指定要扫描的端口。