Existe uma maneira de ver o que está realmente filtrando a comunicação da porta TCP?

É isso que os documentos do nmap dizem sobre o estado filtered

filtered Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. The filtering could be from a dedicated firewall device, router rules, or host-based firewall software...

A única maneira de descobrir o que está fazendo a filtragem é saber quais 'máquinas' estão entre você e o destino remoto.

Isso pode ser obtido usando um utilitário de rastreamento de rota, que tenta determinar hosts entre você e o destino usando pacotes TCP especiais. No seu caso, o comando pode ser algo como:

traceroute 10.1.1.1

Depois de conhecer as máquinas entre você e o alvo, você investiga a configuração de cada um para descobrir se ele está sendo filtrado e, em caso afirmativo, como.

O Nmap fornece várias maneiras de obter mais informações sobre o que está causando a filtragem:

• A opção --reason mostrará o tipo de resposta que causou o estado da porta "filtrada". Isso pode ser "sem resposta" ou "admin-proibido" ou qualquer outra coisa.
• O TTL dos pacotes de resposta é relatado na saída XML como o atributo reason_ttl do elemento state da porta. Se o TTL para uma porta filtrada for diferente de (geralmente maior que) o TTL para portas abertas, a diferença entre os TTLs é a distância da rede entre o destino e o dispositivo de filtragem. Há exceções, como destinos que usam TTLs iniciais diferentes para pacotes ICMP vs TCP ou um dispositivo de filtragem que falsifica ou sobrescreve as informações de TTL.
• A função --traceroute mostrará informações sobre o lúpulo ao longo do seu trajeto, e qualquer uma delas pode estar filtrando seu tráfego. Em alguns casos, o nome DNS reverso de um dos saltos será algo como "firewall1.example.com"
• O firewalk script NSE enviará pacotes com TTLs iniciais que terão tempo limite em saltos diferentes ao longo do rota na tentativa de encontrar onde os pacotes estão sendo bloqueados. Isso é algo como uma combinação das duas técnicas anteriores e geralmente funciona muito bem.

A versão de desenvolvimento não-liberada do Nmap também relata o TTL para pacotes de resposta na saída de texto normal com as opções -v --reason . Por enquanto, no entanto, você precisa usar a saída XML para obter essas informações.

Resposta curta - Não, não é possível vê-lo.

Resposta mais longa:

De: link

"filtrado O Nmap não pode determinar se a porta está aberta porque a filtragem de pacotes impede que seus testes cheguem à porta. A filtragem pode ser de um dispositivo de firewall dedicado, regras de roteador ou software de firewall baseado em host. Essas portas frustram os invasores porque eles fornecem pouca informação. Às vezes, eles respondem com mensagens de erro ICMP, como o código 13 do tipo 3 (destino inacessível: comunicação administrativamente proibida), mas os filtros que simplesmente descartam testes sem responder são muito mais comuns. Isso força o Nmap a tentar novamente várias vezes, caso a sonda tenha sido descartada devido ao congestionamento da rede, e não à filtragem. Isso diminui a velocidade drasticamente. "

Você pode tentar descobrir topologia de rede com ferramentas como traceroute. Normalmente, as portas são filtradas no próprio host (por exemplo, tabelas ip), no roteador de borda de rede de destino, no roteador de núcleo de rede de destino ou na parte superior do switch L3 de rack.

Se você estiver na mesma sub-rede que o host de destino, quase com certeza o firewall estará na máquina de destino.

Tente comparar um resultado de tcptrace com uma das portas filtradas com um tcptrace para uma porta aberta (ou um traceroute padrão). Se os tcptraces forem iguais, significa que há algo na máquina de destino que filtra as portas.

Atualização: Eu quis dizer tcptraceroute, eu tenho alias.