Bienvenido a la Comunidad UBNT

ER-4 - PUERTOS OPEN y PUERTOS OPEN|FILTERED en lado WAN ¿Debería cerrarlos? ¿Cómo?

Buenas tardes,
Tengo un ER-4. He creado las reglas básicas del firewall WAN_IN y WAN_LOCAL que protegen al router y a la LAN. Para ello he seguido la guía "EdgeRouter - How to Create a WAN Firewall Rule" (https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule).

También he bloquedado los acceso webGUI y SSH desde WAN ejecutando esto:
set service gui listen-address <lan ip address>
set service ssh listen-address <lan ip address>

Quería asegurarme que ER-4 estaba bien seguro, y realicé un escaneo de puertos utilizando NMAP desde internal/LAN a mi lado WAN. El resultado del escaneo me ha dejado preocupado ya que veo que hay puertos open (53, 10001) y otros open|filtered (67, 123, 177, ...).. ¿Deberían estar cerrados? ¿Tengo que cerrarlos? ¿Sabe alguién cómo se cierran? ¿Qué y cómo lo hago? Por favor ayudadme.

Muchas gracias por adelantado.
Saludos.

-----------------------------------------------------------------------------------------
Host is up (0.00054s latency).
Not shown: 996 closed ports, 987 filtered ports
PORT      STATE         SERVICE      VERSION
53/tcp    open          domain?
10001/tcp open          tcpwrapped
53/udp    open          domain       dnsmasq 2.78-23-g9e09429
| dns-nsid: 
|_  bind.version: dnsmasq-2.78-23-g9e09429
|_dns-recursion: Recursion appears to be enabled
67/udp    open|filtered dhcps
123/udp   open          ntp          NTP v4 (secondary server)
| ntp-info: 
|_  receive time stamp: 2019-11-25T18:21:39
177/udp   open|filtered xdmcp
689/udp   open|filtered nmap
1234/udp  open|filtered search-agent
4500/udp  open|filtered nat-t-ike
6346/udp  open|filtered gnutella
16918/udp open|filtered unknown
17762/udp open|filtered unknown
21834/udp open|filtered unknown
36945/udp open|filtered unknown
40116/udp open|filtered unknown
49178/udp open|filtered unknown
52503/udp open|filtered unknown 

Comentarios

  • pttptt 6381 Puntos
    editado noviembre 2019
    juliogf dijo:

     realicé un escaneo de puertos utilizando NMAP desde internal/LAN a mi lado WAN.


    Las pruebas las tienes que realizar desde el "Lado WAN" no desde la LAN


Accede o Regístrate para comentar.