Ejecuto mi propio enrutador (basado en Ubuntu) y tengo iptables
configurado para eliminar todos los paquetes entrantes de forma predeterminada. Para mi sorpresa, ejecutar un escaneo de nmap
(desde el lado de la WAN) muestra dos puertos abiertos relacionados con el VOIP:
nmap -Pn -v --reason XXX.net
Starting Nmap 7.60 ( https://nmap.org ) at 2018-03-28 09:52 CEST
Initiating Parallel DNS resolution of 1 host. at 09:52
Completed Parallel DNS resolution of 1 host. at 09:52, 0.09s elapsed
Initiating Connect Scan at 09:52
Scanning XXX.net (XXX.XXX.XXX.XXX) [1000 ports]
Discovered open port 21/tcp on XXX.XXX.XXX.XXX
Discovered open port 22/tcp on XXX.XXX.XXX.XXX
Discovered open port 5060/tcp on XXX.XXX.XXX.XXX
Discovered open port 2000/tcp on XXX.XXX.XXX.XXX
Completed Connect Scan at 09:52, 5.17s elapsed (1000 total ports)
Nmap scan report for XXX.net (XXX.XXX.XXX.XXX)
Host is up, received user-set (0.035s latency).
Not shown: 995 filtered ports
Reason: 995 no-responses
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 52
22/tcp open ssh syn-ack ttl 54
113/tcp closed ident reset ttl 254
2000/tcp open cisco-sccp syn-ack ttl 61
5060/tcp open sip syn-ack ttl 61
Read data files from: /usr/local/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 5.33 seconds
ftp
y ssh
son correctos, ya que estos dos servicios están configurados en el enrutador. Pero abrir cisco-sccp
y sip
es una novedad para mí.
De hecho, una conexión telnet
a ambos puertos es exitosa:
telnet XXX.net 2000
Trying XXX.XXX.XXX.XXX...
Connected to XXX.net.
Escape character is '^]'.
telnet XXX.net 5060
Trying XXX.XXX.XXX.XXX...
Connected to XXX.net.
Escape character is '^]'.
Pero la ejecución de netstat -talpn
en el enrutador mientras la sesión telnet
está activa no muestra una conexión establecida para ninguno de los puertos. Y el registro muestra que iptables
descarta los paquetes:
Mar 27 20:52:16 router DROP INPUT IN=ppp0 OUT= MAC=MM:MM:MM:M SRC=YYY.YYY.YYY.YYY DST=XXX.XXX.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=51 ID=39215 DF PROTO=TCP SPT=52200 DPT=2000 SEQ=106277563 ACK=0 WINDOW=42340 SYN URGP=0 MARK=0
donde YYY.YYY.YYY.YYY
es la IP desde la que telnet
se conecta.
¿Mi diagnóstico es correcto?
En caso afirmativo, ¿cómo puede telnet
establecer una conexión, aunque los paquetes se caigan en el enrutador? ¿Quién está escuchando en los puertos 2000 y 5060?