DNS<\/a><\/em>, con procesos:<\/p>\n\n\n\nsudo ss -lntup\n<\/code><\/pre>\n\n\n\nPar\u00e1metros clave:<\/p>\n\n\n\n
\n-l<\/code> (listening), -n<\/code> (no resolver), -t<\/code> (TCP), -u<\/code> (UDP), -p<\/code> (proceso).<\/li>\n\n\n\n-4<\/code> \/ -6<\/code> para separar IPv4\/IPv6.<\/li>\n\n\n\n- Filtros muy pr\u00e1cticos:<\/li>\n<\/ul>\n\n\n\n
# Filtrar por puerto 22\nsudo ss -ltnp '( sport = :22 )'\n\n# Ver solo IPv6 en escucha\nsudo ss -ltn6\n\n# Ver UDP \"en escucha\" (recordatorio: UDP no establece sesi\u00f3n)\nsudo ss -lnup\n<\/code><\/pre>\n\n\n\nCombinado con lsof<\/code> para ver ficheros y sockets:<\/p>\n\n\n\nsudo lsof -iTCP -sTCP:LISTEN -P -n\nsudo lsof -iUDP -P -n | head\n<\/code><\/pre>\n\n\n\n\nEn mi caso, antes de tocar reglas, corro ss<\/code><\/strong> y confirmo que realmente hay algo escuchando. Evita perseguir \u201cfantasmas\u201d de firewall cuando en realidad no hay servicio.<\/p>\n<\/blockquote>\n\n\n\nDiferencias pr\u00e1cticas ss<\/code> vs netstat<\/code><\/h3>\n\n\n\nnetstat<\/code> (paquete net-tools<\/code>) est\u00e1 deprecado en muchas distros; funciona, pero ss<\/code> (en iproute2<\/code>) ofrece filtros modernos, mejor rendimiento y m\u00e1s detalle por socket. Si tu documentaci\u00f3n antigua menciona netstat -tulpn<\/code>, trad\u00facelo mentalmente a ss -lntup<\/code>.<\/p>\n\n\n\n\nConsejo: si trabajas con contenedores o namespaces<\/em>, aseg\u00farate de auditar el namespace correcto<\/strong>:<\/p>\n<\/blockquote>\n\n\n\n# Ver sockets de red del contenedor (usa el PID del proceso principal)\nsudo nsenter -t <PID> -n ss -lntup\n\n# O con netns nominal\nsudo ip netns exec <ns> ss -lntup\n<\/code><\/pre>\n\n\n\nDesde fuera de la red: valida exposici\u00f3n real con nmap<\/code> (TCP\/UDP)<\/h2>\n\n\n\nPara confirmar qu\u00e9 es alcanzable de verdad<\/strong>, me voy a otra m\u00e1quina y paso nmap<\/code>. Esto evita autoenga\u00f1os del tipo \u201caqu\u00ed lo veo abierto, as\u00ed que desde fuera debe estarlo\u201d.<\/p>\n\n\n\nEstados open\/closed\/filtered<\/code> y falsos negativos<\/h3>\n\n\n\n\n- open<\/strong>: una aplicaci\u00f3n responde al puerto.<\/li>\n\n\n\n
- closed<\/strong>: ning\u00fan servicio escuchando; el host responde<\/strong> con rechazo (p. ej., RST).<\/li>\n\n\n\n
- filtered<\/strong>: un firewall filtra; no hay respuesta concluyente (p\u00e9rdida de paquetes, ICMP bloqueado\u2026).<\/li>\n<\/ul>\n\n\n\n
Si un host \u201cno responde al ping\u201d, puede ser normal; usa -Pn<\/code> para escanear igualmente. Para IPv6<\/strong>, a\u00f1ade -6<\/code>.<\/p>\n\n\n\nEjemplos: rango completo, servicio concreto y UDP<\/h3>\n\n\n\n
Escaneo TCP de todos los puertos (r\u00e1pido y \u00fatil):<\/strong><\/p>\n\n\n\nnmap -p- -sS -Pn --reason 198.51.100.10\n<\/code><\/pre>\n\n\n\nDetecci\u00f3n de servicio\/versi\u00f3n en puertos t\u00edpicos:<\/strong><\/p>\n\n\n\nnmap -p 22,80,443 -sS -sV --reason 198.51.100.10\n<\/code><\/pre>\n\n\n\nUDP (m\u00e1s lento y propenso a \u201copen|filtered\u201d):<\/p>\n\n\n\n
sudo nmap -sU --top-ports 200 --reason 198.51.100.10\n# O focalizado:\nsudo nmap -sU -p 53,123,161 --reason 198.51.100.10\n<\/code><\/pre>\n\n\n\n\nEn mi pr\u00e1ctica, combino -sS<\/code> (TCP) y -sU<\/code> (UDP) cuando necesito la foto completa y pruebo tambi\u00e9n -6<\/code> para evitar falsos negativos si el servicio s\u00f3lo escucha en IPv6.<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\nFirewall y per\u00edmetro: ufw<\/code>, firewalld<\/code>\/nftables<\/code> para cuadrar la foto<\/h2>\n\n\n\nUn check<\/em> local dice \u201cescucha\u201d, nmap<\/code> desde fuera dice \u201cclosed\/filtered\u201d\u2026 toca revisar la pol\u00edtica de firewall<\/strong>.<\/p>\n\n\n\nufw<\/code> (Ubuntu\/Debian)<\/h3>\n\n\n\nsudo ufw status verbose\nsudo ufw allow 22\/tcp\nsudo ufw delete allow 8080\/tcp\n<\/code><\/pre>\n\n\n\nOjo con el perfil IPv6 (fichero \/etc\/ufw\/ufw.conf<\/code>, IPV6=yes<\/code>) y con reglas por aplicaci\u00f3n (\/etc\/ufw\/applications.d\/<\/code>).<\/p>\n\n\n\nfirewalld<\/code> (RHEL\/Fedora) sobre nftables<\/code><\/h3>\n\n\n\n# Zona activa y su interfaz\nsudo firewall-cmd --get-active-zones\nsudo firewall-cmd --zone=public --list-all\n\n# Abrir puerto en runtime y despu\u00e9s hacerlo permanente\nsudo firewall-cmd --zone=public --add-port=8080\/tcp\nsudo firewall-cmd --zone=public --add-port=8080\/tcp --permanent\nsudo firewall-cmd --reload\n<\/code><\/pre>\n\n\n\nTrampa t\u00edpica<\/strong>: abrir en la zona equivocada o tener la interfaz en otra zona.<\/p>\n\n\n\nnftables<\/code> (reglas finas)<\/h3>\n\n\n\nsudo nft list ruleset\n# Ejemplo de permitir SSH\nsudo nft add rule inet filter input tcp dport 22 ct state new accept\n<\/code><\/pre>\n\n\n\n\nCuando \u201ccuadro la foto\u201d, reviso ufw<\/code>\/firewalld<\/code>\/nft<\/code> porque un DROP silencioso convierte puertos abiertos en \u201cfiltered\u201d a ojos de nmap<\/code>.<\/p>\n<\/blockquote>\n\n\n\nPer\u00edmetro\/Nube<\/strong>: no olvides Security Groups<\/em> (AWS, Azure, GCP), ACLs, WAF y el router ISP. Puedes tener todo OK en el host y seguir bloqueado fuera.<\/p>\n\n\n\n
\n\n\n\nCasos que confunden: loopback, IPv6, contenedores y puertos ef\u00edmeros<\/h2>\n\n\n\n\n- Loopback<\/strong>: servicios locales (dashboards, Prometheus, etc.) oyen en
127.0.0.1<\/code> por seguridad. Para exponerlos, cambia bind address<\/em> a 0.0.0.0<\/code>\/::<\/code> y<\/strong> abre en firewall.<\/li>\n\n\n\n- S\u00f3lo IPv6<\/strong>: si ves
:::443<\/code> en ss<\/code> y nmap<\/code> (IPv4) marca \u201cclosed\u201d, prueba nmap -6<\/code>.<\/li>\n\n\n\n- Contenedores\/Namespaces<\/strong>: Docker publica puertos con DNAT; el contenedor puede escuchar en
0.0.0.0:80<\/code> dentro<\/strong> pero no estar mapeado hacia el host. Verifica con:<\/li>\n<\/ul>\n\n\n\ndocker ps\ndocker inspect <container> | jq '.[0].HostConfig.PortBindings'\nss -lntup | grep -E 'docker|containerd'\n<\/code><\/pre>\n\n\n\nEn Kubernetes, mira Service<\/code>\/Ingress<\/code> y NetworkPolicy<\/em>.<\/p>\n\n\n\nPuertos ef\u00edmeros<\/strong>: son puertos cliente (rango ip_local_port_range<\/code>) que ver\u00e1s en estados ESTAB<\/code>\/TIME-WAIT<\/code>; no son \u201cservidores en escucha\u201d pero confunden si filtras mal:<\/p>\n\n\n\ncat \/proc\/sys\/net\/ipv4\/ip_local_port_range\ncat \/proc\/sys\/net\/ipv6\/ip_local_port_range 2>\/dev\/null || echo \"usa el mismo rango que IPv4\"\n<\/code><\/pre>\n\n\n\n\nYo suelo recordar: \u201clas herramientas muestran \u00e1ngulos distintos<\/strong> del mismo problema\u201d; s\u00f3lo cruzando host + red + firewall saco la verdad.<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\nChecklist r\u00e1pida: comandos y pasos en 60 segundos<\/h2>\n\n\n\n\n- Local<\/strong>:
sudo ss -lntup<\/code> \u2192 \u00bfexiste el puerto? \u00bfen IPv4\/IPv6? \u00bfen qu\u00e9 bind<\/em>?<\/li>\n\n\n\n- Red<\/strong>: desde otra m\u00e1quina \u2192
nmap -p- -sS -Pn --reason <tu_IP><\/code> y, si toca, -6<\/code> y\/o -sU<\/code>.<\/li>\n\n\n\n- Firewall<\/strong>:\n
\n- Ubuntu:
sudo ufw status verbose<\/code><\/li>\n\n\n\n- RHEL\/Fedora:
sudo firewall-cmd --get-active-zones && --list-all<\/code><\/li>\n\n\n\n- General:
sudo nft list ruleset<\/code><\/li>\n<\/ul>\n<\/li>\n\n\n\n- Per\u00edmetro\/Nube<\/strong>: revisa SG\/ACL\/WAF\/router.<\/li>\n\n\n\n
- Reprueba<\/strong>: vuelve a lanzar
nmap<\/code> y valida.<\/li>\n<\/ol>\n\n\n\n
\n\n\n\nErrores comunes y c\u00f3mo evitarlos<\/h2>\n\n\n\n\n- Escanear IPv4 cuando el servicio s\u00f3lo escucha en IPv6. Soluci\u00f3n<\/strong>:
nmap -6<\/code>.<\/li>\n\n\n\n- Abrir el puerto en la zona equivocada<\/strong> de
firewalld<\/code>. Soluci\u00f3n<\/strong>: confirma interfaz↔zona.<\/li>\n\n\n\n- Confiar en
netstat<\/code> y obviar ss<\/code>. Soluci\u00f3n<\/strong>: adopta ss<\/code> y sus filtros.<\/li>\n\n\n\n- Olvidar el per\u00edmetro<\/strong> (NAT\/SG). Soluci\u00f3n<\/strong>: diagrama simple del flujo y valida hop a hop.<\/li>\n\n\n\n
- Interpretar UDP<\/strong> como \u201ccerrado\u201d cuando es \u201cfiltered\u201d. Soluci\u00f3n<\/strong>: usa
--reason<\/code>, prueba puertos concretos y paciencia.<\/li>\n<\/ul>\n\n\n\n
\n\n\n\nSobre Comprobar puertos abiertos<\/h2>\n\n\n\n
Comprobar puertos abiertos de verdad<\/strong> significa mirar el sistema desde tres perspectivas: dentro del host<\/strong>, desde fuera<\/strong> y en el firewall\/per\u00edmetro<\/strong>. En mi pr\u00e1ctica, ss<\/code> me da la realidad local con rapidez; nmap<\/code> (desde otra m\u00e1quina) me dice qu\u00e9 es realmente alcanzable<\/strong>; y el repaso a ufw<\/code>\/firewalld<\/code>\/nftables<\/code> me permite cuadrar la foto, incluyendo IPv6, contenedores y puertos ef\u00edmeros. Con ese tri\u00e1ngulo, los \u201cmisterios\u201d desaparecen.<\/p>\n\n\n\n
\n\n\n\nFAQs<\/h2>\n\n\n\n
\u00bfss<\/code> o netstat<\/code>?<\/strong>
ss<\/code> es m\u00e1s moderno, r\u00e1pido y con mejores filtros. \u00dasalo por defecto; deja netstat<\/code> para sistemas antiguos.<\/p>\n\n\n\n\u00bfPor qu\u00e9 nmap<\/code> dice \u201cfiltered\u201d?<\/strong>
Porque no recibe respuestas concluyentes: hay firewall\/NAT. Revisa reglas y usa --reason<\/code>\/-Pn<\/code>.<\/p>\n\n\n\n\u00bfC\u00f3mo verifico IPv6?<\/strong>
Aseg\u00farate de que el servicio escucha en ::<\/code>\/[::1]<\/code>, usa ss -6<\/code> y escanea con nmap -6<\/code>.<\/p>\n\n\n\n