Решил я просканировать свой IP адрес извне сканером портов (на предмет их открытости) и обнаружил целый список. Но несовсем все так просто, т.к. мой IP адрес это адрес DSL модема Zyxel Prestige, который в свою очередь настроен как NAT и на нем настроен проброс порта VPN внутрь сети. Но больше никаких пробросов нет.

Может кто знает как программы сканируют порты и что означает сообщение об открытости порта ?

ну что значит? ну через этот порт тебе могут заслать трояна который в свою очередь будет красть информацию и отправлять своему создателю... например

(0) Программа одна - nmap. Открытый порт - значит, что на этом порту висит
сервис, который открывает TCP/IP- или UDP-сокеты. Более ничего.

Как ? Куда зашлют ? В модем ? Где в модеме искать открытые порты ?

(2) нету в модеме сервиса по 21 порту.

(2)серьезно?

(2) И проброса внутрь сети тоже нет. И телнетом на него соединиться нельзя. НУ не отвечает там никто.

вот тут сервис проверки есть: http://2ip.ru/

(7) что это за фигня ? Я двумя сканерами сканировал и получал примерно одинаковые ответы. Этот говорит, что все порты закрыты.

вмысле что за фигня?

(9) в прямом. Эта ерунда не показывает ни одного открытого порта.

Я так понимаю. больше мыслей ни у кого нет ...

(11) ИП скажи. Троянов слать не буду (могобыть) но простучу. Мыло там.

(12) я уже простучал.

(0) Я тоже периодически простукиваю соседей. Часто попадаются модемы ZyXEL с дефолтным паролем :) Кто угодно может сотворить с таким модемом что угодно, вплоть до перепрошивки. Вот добраться до компов будет посложнее...

В системе есть всего 65536 портов, в которые можно установить соединенние.
Если в какой-то порт устанавливается соединение, то система смотрит список задач, которые зарегистрировали порты для установки соединений. Если таковых нет, то система отвечает, что порт пустой. Если кто-то есть, то система отвечает, что установка соединения прошла успешно и вызывает программу, которая ожидает соединения на порт.
Для UDP портов (их тоже 65536) нет ожидания. Пакет или прошёл, или нет. Обычно непрошедшие сбрасываются.
Соответственно, если есть фильтр, роутер или что-то подобное, то он может по свойму отвечать на запросы о соединении:
Может отвечать, что никого нет, то есть reject.
Может просто потерять пакет и сделать вид, что он не приходил, то есть drop(хотя считается, что так сделать нельзя, но на практике делают именно для того, чтобы избежать сканирования, так как в этом случае сканер просто не получит никакого ответа).
Может ответить, что соединение установлено то есть ack, но потом просто сбрасывать пакеты - что тоже позволяет избежать сканирования, так как сканет вводится в заблужнение открытым портом.
В ip-tables в LINUX-е можно ещё много чего настроить.
Поэтому прежде чем сканировать свой модем, нужно посмотреть на сайте провайдера какие порты и почему они блокируют или открывают.
также надо понимать, что один IP-адрес может быть роздан нескольким пользователям и сканируете вы не себя, а соседа.