Tengo un pequeño servidor de Ubuntu (VPS del proveedor con panel de control) para la práctica, sin producción ni cosas importantes. He configurado ufw y nginx con una página index.html de ejemplo. Controlo el sistema a través de SSH, utilizando tmux. En uno de los paneles tmux tengo nethogs corriendo.
Periódicamente, nethogs muestra un intento de conexión de direcciones IP desconocidas, como esta
PID USER PROGRAM
? root 45.7.xxx.xxx:23-177.238.xx.xxx:51427
La dirección IP de mi servidor comienza con 45.7, entonces, ¿es una conexión entrante? Si se invirtió el orden de las direcciones, ¿es la conexión saliente? Las direcciones IP externas siempre están cambiando, también los números de puerto de mi máquina o la máquina externa. No se envían datos, solo se reciben, unos pocos bytes.
Por lo que sé, no hay establecimiento de conexión ya que la política predeterminada de ufw es denegar todas las conexiones entrantes, excepto el puerto 80 y 443. No se muestran conexiones establecidas mediante netstat, excepto la conexión SSH.
¿Estoy siendo escaneado en puerto? ¿Qué puedo hacer para evitarlo?
Gracias.