Creo que está preguntando si puede aprovechar el tráfico que se permite para el puerto 12345 de targethost para escanear otros puertos en el host de destino, aparte de 12345.
La respuesta a esa pregunta es esencialmente "no".
¿Alguna vez la respuesta es literalmente "sí"? Actualmente, si.
Érase una vez, era posible engañar a algunos filtros de paquetes y cortafuegos de cerebro débil para pasar el tráfico. Si recuerdo, el método consistía en enviar una serie de fragmentos de paquetes superpuestos . El filtro de paquetes (a menudo un enrutador) miraría el primer fragmento y diría "¡Ah! ¡Puerto 12345! ¡Lo permito, entra!" y pasaría paquetes posteriores sin examen. Pero, ¿qué pasaría si el segundo fragmento de paquete tuviera un desplazamiento que se superpusiera donde se definió el puerto de destino? El host de destino, a diferencia del filtro de paquetes, va a volver a ensamblar el paquete antes de analizarlo para determinar a qué puerto va. Si el host objetivo resolvió los fragmentos superpuestos al sobrescribir el fragmento original (el fragmento del puerto 12345) con el fragmento subsiguiente (por ejemplo, listando el puerto 137) y el boom! Suponiendo que el paquete de respuesta pueda salir (una vez más, algo que los filtros de paquetes tienden a hacer, los firewalls modernos y con estado tienden a no hacerlo), entonces sería posible escanear puertos arbitrarios detrás de un firewall, combinándose con un solo puerto permitido.
Los firewalls modernos no son tan estúpidos, por lo que generalmente no es posible hacer lo que quieres hacer hoy.
(También solía ser común que los filtros de paquetes pasen el tráfico por puerto de origen . Sí. Hace que el manejo de cosas como DNS y FTP sea más fácil cuando no tiene una aplicación firewall de estado. También permite que cualquiera que quiera conectarse directamente a través de su firewall, siempre que obtengan sus paquetes desde (digamos) el puerto 53 o el puerto 20).