Es normal que el tráfico externo (WAN) e interno (LAN) siga diferentes rutas y que esas rutas tengan un comportamiento de filtrado diferente. En la mayoría de los enrutadores, incluso los dispositivos de tipo SOHO, normalmente encontrará al menos 3 interfaces, WAN, LAN y WLAN. El tráfico de LAN y WLAN se origina dentro de su red y los dispositivos conectados de esta manera pueden tener direcciones IP privadas no enrutables. La interfaz WAN es para conexiones desde fuera de su red. Si posee suficientes direcciones IP, es decir, tiene una clase C o su ISP le ha asignado un rango de direcciones IP, los dispositivos dentro de su red pueden tener una dirección IP "real" que puede enrutarse, pero para redes más pequeñas, es más común para que la red interna tenga direcciones IP privadas y una única dirección IP pública, que está asociada con su extremo de la conexión WAN. En este caso, su enrutador realizará NAT (Traducción de dirección de red) para asignar el tráfico de las IP privadas internas a su IP pública y viceversa para los protocolos basados en la conexión como TCP. También puede tener reenvío de puertos, lo que permite que las conexiones iniciadas desde el exterior se enruten a una IP dentro de su red.
La diferencia que observa entre los análisis internos y externos probablemente se deba a las diferentes políticas de firewall que se aplican al tráfico en función de la IP de origen y la posible interfaz en la que se encuentra. Por ejemplo, puede filtrar cualquier intento de conexión a través de su interfaz WAN para las direcciones IP que se encuentran dentro de su rango de IP y filtrar las conexiones desde su LAN / WLAN para las direcciones IP que no están dentro de su rango de IP.
También puede filtrar el acceso a los puertos / protocolos / servidores según la interfaz de origen (LAN / WLAN, WAN) o la dirección IP de origen. También puede tener múltiples niveles de filtrado. Un concepto importante en seguridad es 'seguridad en profundidad'. Esto se refiere a tener más de una capa de defensa. Por ejemplo, su escaneo desde fuera de la red podría filtrarse en el servidor de seguridad interno o podría filtrarse en el servidor de seguridad del servidor. En estos días, no es infrecuente encontrar filtros en la frontera, en el servidor e incluso en el nivel de la aplicación.
También hay cortafuegos de paquetes reactivos y profundos. Por ejemplo, es posible que vea resultados diferentes de sus exploraciones externas según la cantidad de exploraciones que realice o el tiempo entre exploraciones o la cantidad de hosts que analice. Un servidor de seguridad reactivo hará un seguimiento de lo que está ocurriendo y si ve un patrón que considera inusual o podría representar a personas malas que intentan escanear la red o un host, podría cambiar la forma en que se filtra o incluso proporcionar información engañosa. Los firewalls de inspección profunda de paquetes pueden incluso mirar los paquetes que envía y decidir que no se ven como el tráfico normal y dejarlos caer.
En pocas palabras, es posible que la información que obtiene de un escaneo no le diga todo lo que piensa y ni siquiera le diga la verdad. La información es un indicador que debe combinarse con otra información antes de poder sacar conclusiones sobre lo que está sucediendo.