È normale che il traffico esterno (WAN) e interno (LAN) segua percorsi diversi e che tali percorsi abbiano un comportamento di filtraggio diverso. Nella maggior parte dei router, anche i dispositivi di tipo SOHO, troverete normalmente almeno 3 interfacce, WAN, LAN e WLAN. Il traffico LAN e WLAN proviene dalla rete e i dispositivi collegati in questo modo possono avere indirizzi IP non instradabili privati. L'interfaccia WAN è per le connessioni dall'esterno della rete. Se possiedi abbastanza indirizzi IP, ad esempio se hai una classe C o il tuo ISP ti ha assegnato un intervallo di indirizzi IP, i dispositivi all'interno della tua rete potrebbero avere un indirizzo IP "reale" che può essere indirizzato, ma per le reti più piccole è più comune affinché la rete interna abbia indirizzi IP privati e un unico indirizzo IP pubblico, associato alla propria estremità della connessione WAN. In questo caso, il router eseguirà NAT (Network Address Translation) per mappare il traffico da IP privati interni al tuo IP pubblico e viceversa per protocolli basati sulla connessione come TCP. È inoltre possibile effettuare il port forwarding, che consente di instradare le connessioni avviate dall'esterno a un IP all'interno della rete.
La differenza osservata tra le scansioni interne ed esterne è probabilmente dovuta a diverse politiche del firewall applicate al traffico in base all'IP di origine e alla possibile interfaccia in cui entra. Ad esempio, è possibile escludere qualsiasi tentativo di connessione tramite l'interfaccia WAN per gli indirizzi IP che rientrano nell'intervallo IP e filtrare le connessioni dall'interno di LAn / WLAN per gli indirizzi IP che non sono compresi nell'intervallo IP.
È inoltre possibile filtrare l'accesso a porte / protocolli / server in base all'interfaccia di origine (LAN / WLAN, WAN) o all'indirizzo IP di origine. Potresti anche avere più livelli di filtraggio. Un concetto importante nella sicurezza è la "sicurezza in profondità". Questo si riferisce ad avere più di uno strato di difesa. Ad esempio, la scansione dall'esterno della rete potrebbe essere filtrata al firewall del boarder o potrebbe essere filtrata sul firewall del server. In questi giorni, non è raro trovare filtri al boarder, sul server e persino a livello di applicazione.
Esistono anche firewall a pacchetti reattivi e profondi. Ad esempio, potresti vedere risultati diversi dalle scansioni esterne a seconda del numero di scansioni eseguite o del tempo che intercorre tra le scansioni o il numero di host scansionati. Un firewall reattivo terrà traccia di ciò che sta accadendo e se vedrà uno schema che sembra insolito o potrebbe rappresentare i cattivi che cercano di scansionare la rete o un host, potrebbe cambiare il modo in cui viene filtrato o persino fornire informazioni fuorvianti. I firewall di ispezione dei pacchetti profondi potrebbero anche esaminare i pacchetti inviati e decidere che non sembrano il traffico normale e rilasciarli.
In conclusione, le informazioni che torni da una scansione potrebbero non dirti quanto pensi e potrebbero anche non dirti la verità. L'informazione è un indicatore che deve essere combinato con altre informazioni prima di poter trarre conclusioni su ciò che sta accadendo.