Что значит open|filtered в выводе nmap

Псевдокодом:

if (port_state != "open"){
print "unable to connect";
}

А подробнее можно?

Не писал сетевых программ.

Подробнее: если nmap не рапортует «open», подключиться не выйдет. Это все в связи с некорректным ответом фильтра.

open|filtered значит nmap не смог определить

если поставить вместо DROP REJECT я думаю он скажет closed

А для безопасности что лучше?

Выдернуть кабель. Питания.

Drop или reject правильнее?

С REJECT твой сервер отправляет ответ-ошибку. С DROP вообще молчит. Если ты через telnet будешь коннектиться на такой порт, то с REJECT у тебя telnet сразу напишет ошибку, с DROP telnet повиснет.

Тут нет правильного или неправильного варианта, оба варианта безопасны. REJECT теоретически чуть хуже, т.к. вынуждает твой сервер тратить ресурсы на такие ответы, но на практике сомневаюсь, что разницу можно замерить.

Если хочешь прям совсем правильно, на мой взгляд можно использовать REJECT с rate limiting и DROP для остальных пакетов. Т.е. в обычной ситуации будет отправляться REJECT, но если таких пакетов явно слишком много, то они будут дропаться.

Drop или reject правильнее?

От ситуации зависит. Твоя проблема в том что ты смысла не понимаешь. Вот смотри, на пальцах: DROP означает что мы тупо удаляем пришедший пакет ничего не отправляя обратно. REJECT означает что мы ОТВЕЧАЕМ отправителю отказом.

Соответственно для того чтобы выбрать DROP или REJECT нужно понимать по какому протоколу с тобой общаются. DROP для «той стороны» выглядит как «чёрная дыра», REJECT выглядит как запертая дверь из за которой посылают нахер.

Думаю что правльно делать на input и forward drop, открывать только то что нужно и в конце каждой цепочки добавить

-A FRAG_ALL -p tcp -j REJECT --reject-with tcp-reset
-A FRAG_ALL -p udp -j REJECT --reject-with icmp-port-unreachable
-A FRAG_ALL -j REJECT --reject-with icmp-proto-unreachable
-A FRAG_ALL -j DROP

Там есть ещё одна история. Если между твоим сервером и той стороной есть роутер, например, с DNAT — то роутер, получив SYN, создаёт запись в NAT таблице, и не получив ответа в случае DROP, удаляет запись только после таймаута. В случае REJECT роутер удаляет запись из таблицы сразу, поскольку тоже видит ICMP-уведомление.

Поэтому с политикой DROP можно подвесить роутер.

В твоём случае правильнее настроить сраный cups так, чтобы он не слушал сетевой порт, а только unix-сокет. Ну, это если ты удалить его не можешь по какой-то причине.

open|filtered с точки зрения nmap означает, что был выслан пакет на порт udp 631, но ответ не получен из за того, что

1. сервис не смог прочитать корректно пакет и решил ничего не отвечать
2. пакет дропнулся

при сканирование UDP портов nmap посылает некоторые шаблоны известных сервисов (допустим DNS), но в большинстве случае он посылает пустой пакет, часто сервисы получаю «пустой» или «кривой с их точки зрения по структуре пакет» его откидывают, ничего не посылая обратно.

Насчет роутера незнаю, но вот оффтопик раньше вешался наглухо, не только сетевая подсистема а именно оффтопик целиком, я проводил эксперимент.

И как тогда админить сраный капс? Он же на 127.0.0.1:631 завязан.

Зачем его админить, если он у тебя на локалхосте?

Алсо, наверняка можно заставить его слушать конкретно 127.0.0.1, тогда правила фаерволла тоже не нужны.