我最近和我的ISP谈了很多事情，基本上和我（小）公司的安全有关，这个人对我来说是一个网络大师，但他做了一件让我担心的奇怪事情。基本上，我的 LAN 中有一台 Web 开发机器，它没有端口转发（无法从 Internet 访问），但他可以以某种方式从路由器的 WAN 接口外部访问其上的 Web 服务器，并且不会告诉我他是如何做到的它。他只是说，作为我的提供者，他能够进行端口扫描并访问我的计算机服务是正常的（wtf?!?）。他还说应该有一些规则我应该添加到我的路由表中以防止它，但他“不记得”它的内容。显然这家伙喜欢窥探别人的事情，虽然我们是哥们，但我真的不喜欢它。

我在那里有一个旧的 linux router-in-a-box，基于 iptables 1.2-something，这是它的脚本（为简洁起见，我删除了任何端口转发并拒绝规则）。这些是标准的。

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere           tcp 
Chain FORWARD (policy DROP)
num  target     prot opt source               destination         
1    TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN     TCPMSS clamp to PMTU          
//here follows a bunch of port forwarding rules and DENY rules I set,
//and line 60 looks kind of out of place, given line 61
60   ACCEPT     all  --  anywhere             anywhere           
61   ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

所以问题是三方面的：

• 如果没有我在路由器上转发它，ISP 怎么能访问我机器上的端口 80？
• 我怎样才能阻止他或该网络中的任何其他人这样做
• 请解释为什么有第 60 行，然后是第 61 行，因为据我了解，如果第 60 行允许有任何内容，那么数据包已经被允许通过，甚至没有到达第 61 行

编辑：

这是我的设置，我认为它很标准：

ISP network -> their WiFi bridge -> Our router -> Our Network (with my DEV machine)

ISP 应该只能对我们的路由器进行端口扫描。他们给我的只是一个连接到我们屋顶上的 WiFi 网桥的插头和一个 IP，路由器是单独购买的。