Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Proxy transparente en ADSL terra ?

Hola desde hace dias, me he fijado en varios escaneos de puertos, aparentemente han colocado un proxy transparente. Cuando realizo un scan del puerto 80, de cualquier rango, dentro del rango del adsl de terra o fuera de el, me dice que todas las ips tienen el 80 abierto. No se si lo que estan haciendo es legal o ilegal. Si podeis mirarlo vosotros mismos. No se si solo me pasa a mi.

Seria interesante, que reportarais los resultados de un scan de puertos, de los rangos comentados, para poder verificar la autenticidad del incidente.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    Proxy pa tos

    Segun lo que se de redes todas las conexiones que se hacen a internet se hacen a traves de un proxy. He leido en las respuestas que como va a tener un proxy porque tendria proxificar todos los protocolos no creo que sea asi ya que las conexiones por modem funcionan asi y admiten p2p.
    Esta es mi opinion aunque no estoy muy seguro en cuanto la direccion del proxy linux si que admmite traceroute y creo que es 10.3.224.1 aunque tambien podria ser cualquiera del rango
    80.58.77.225/93.

  • Cerrado

    BocaDePez BocaDePez
    0

    Comprobado

    Comprobado, mi dirección IP es la 213.96.96.xx, sin embargo en algunos casos aparezco como 80.58.1.xx. Tengo comprobado que este proxy intercenta tramas dirigidas a ciertos puertos (80 por ejemplo) pero no a otros, todavía (el 8080, 8000, 25...). Mi servidor de Correo funciona asi como mi servidor Web usando dichos puertos.

  • Cerrado

    BocaDePez BocaDePez
    0

    Scan de puertos Shileds Up!

    He comprobado con el scan de puertos Shields Up! (https://grc.com/x/ne.dll?bh0bkyd2) y tengo el puerto 80 abierto.

    El router (3Com 812) tiene un filtro para rechazar las tramas a dicho puerto y además una redirección a una IP inexistente dentro de mi LAN para dicho puerto en NAT.

  • Cerrado

    En MENTA esto ya nos lo conocemos

    Por desgracia, los usuarios de MENTA, ya conocemos lo de que nos pongan un "proxy", y los muchisimos problemas que esto connleva.

    El "proxy" de MENTA es en concreto son varias aparatos (proxy-cache) de la marca CacheFlow, creo recordar que son los modelos 6000.

    Asi que espero que no sea cierto, porque a nosotros nos ha causado muchos problemas. Si quereis saber sobre estos problemas, podeis visitar la web de usuarios de MENTA en www.maduixa.net

    • Cerrado

      6

      me parece que si es una web para que pueda verla la gente…

      me parece que si es una web para que pueda verla la gente ponerla en un idioma desconocido por lo menos para i que soy español y la web es es de usuarios de un servicio en españa es hacer el tonto y7 esta fuera de lugar.

      Daniel

      • Cerrado

        BocaDePez BocaDePez
        0

        Sorry, se me olvido decir que www.maduixa.net, es una web en…

        Sorry, se me olvido decir que www.maduixa.net, es una web en catalán, aunque gran parte de los mensajes de su forum en castellano.

  • Cerrado

    BocaDePez BocaDePez
    0

    a mi me pasa lo mismo

    a mi me pasa lo mismo estoyo muy mosca, yo tengo todo cerrado y me dice que el puerto esta abierto

  • Cerrado

    12

    Un scan

    El moderador pedia un par de escaneados, ahi van.
    Primero he escogido un rango al azar de adsl de 10 IP's, y vemos cuales estan conectadas:
    VaLKyR:~# nmap -sP 213.97.*.1-10

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Host 213-97-*-5.uc.nombres.ttd.es (213.97.*.5) appears to be up.
    Host 213-97-*-6.uc.nombres.ttd.es (213.97.*.6) appears to be up.
    Host 213-97-*-8.uc.nombres.ttd.es (213.97.*.8) appears to be up.
    Host 213-97-*-9.uc.nombres.ttd.es (213.97.*.9) appears to be up.

    Nmap run completed -- 10 IP addresses (4 hosts up) scanned in 1 second

    Ahora un scan a esas maquinas en tcp y al puerto 80:

    VaLKyR:~# nmap -sT -p 80 213.97.*.5,6,8,9

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Interesting ports on 213-97-*-5.uc.nombres.ttd.es (213.97.*.5):
    Port State Service
    80/tcp filtered http

    Interesting ports on 213-97-*-6.uc.nombres.ttd.es (213.97.*.6):
    Port State Service
    80/tcp filtered http

    Interesting ports on 213-97-*-8.uc.nombres.ttd.es (213.97.*.8):
    Port State Service
    80/tcp open http

    Interesting ports on 213-97-*-9.uc.nombres.ttd.es (213.97.*.9):
    Port State Service
    80/tcp filtered http

    Nmap run completed -- 4 IP addresses (4 hosts up) scanned in 7 seconds

    Vemos q uno lo tiene abierto el puerto 80, ademas esta corriendo un Microsoft-IIS/5.0
    El resto estan filtrados por un firewall/router.
    Ahora un scan en udp y puerto 80:

    VaLKyR:~# nmap -sU -p 80 213.97.*.5,6,8,9

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    The 1 scanned port on 213-97-*-5.uc.nombres.ttd.es (213.97.*.5) is: closed
    The 1 scanned port on 213-97-*-6.uc.nombres.ttd.es (213.97.*.6) is: closed
    Interesting ports on 213-97-*-8.uc.nombres.ttd.es (213.97.*.8):
    Port State Service
    80/udp open http

    Interesting ports on 213-97-*-9.uc.nombres.ttd.es (213.97.*.9):
    Port State Service
    80/udp open http

    Nmap run completed -- 4 IP addresses (4 hosts up) scanned in 3 seconds

    La 213.97.*.8 es normal q tenga el 80/udp en escucha, pero ¿por que el 213.97.*.9?

    Ahora cogemos un rango extranjero, y hacemos los mismos pasos q antes:

    VaLKyR:~# nmap -sP 204.202.158.181-191

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Host (204.202.158.181) appears to be up.
    Host (204.202.158.182) appears to be up.
    Host (204.202.158.184) appears to be up.
    Host (204.202.158.186) appears to be up.
    Host (204.202.158.187) appears to be up.
    Host (204.202.158.188) appears to be up.
    Host (204.202.158.191) appears to be up.

    Nmap run completed -- 11 IP addresses (7 hosts up) scanned in 4 seconds

    VaLKyR:~# nmap -sT -p80 204.202.158.181,182,184,186,187,188,191

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Interesting ports on (204.202.158.181):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.182):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.184):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.186):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.187):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.188):
    Port State Service
    80/tcp filtered http

    Interesting ports on (204.202.158.191):
    Port State Service
    80/tcp filtered http

    VaLKyR:~# nmap -sU -p80 204.202.158.181,182,184,186,187,188,191

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    Interesting ports on (204.202.158.181):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.182):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.184):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.186):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.187):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.188):
    Port State Service
    80/udp open http

    Interesting ports on (204.202.158.191):
    Port State Service
    80/udp open http

    Nmap run completed -- 7 IP addresses (7 hosts up) scanned in 11 seconds

    Probemos ya con un solo ip de uni2 :

    VaLKyR:~# nmap -sT -p 80 62.37.*.29

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    The 1 scanned port on 62-37-*-29.dialup.uni2.es (62.37.*.29) is: closed

    Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds
    VaLKyR:~# nmap -sU -p 80 62.37.*.29

    Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
    The 1 scanned port on 62-37-*-29.dialup.uni2.es (62.37.*.29) is: closed

    Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds

    Ahi tienen unos cuantos resultados, q los expertos saquen conclusiones ;)

    Nota: Oculte los rangos de IP's españolas por si afecta/molesta a alguien, las extranjeras me dan un poco igual ;)

    • Cerrado

      A mi me parece que por la salida del portscan que nos ha…

      A mi me parece que por la salida del portscan que nos ha madado MaX no existe tal proxy invisible..... o al menos no existe en la zona de la que cuelga la conexión de MaX.

      Dado que Sanity y neXuS siguen detectando que todas las IP les responden al puerto 80, sería interesante que postearan la salida de un portscan hacia un rango de IP extranjeras, a ser posible de algunas de las que se tuviera la absoluta seguridad de que no pueden tener un servidor web (por ejemplo las direcciones de los enlaces de los routers de redIris) para tener la prueba definitiva de que el proxy existe.

      Si han colocado un proxy invisible, no tiene porque afectar a los usuarios. Es muy posible que coloquen el proxy primero en algunas zonas para ver su comportamiento. Sanity, neXuS de donde cuelga vuestra conexión, estais en la misma ciudad? Sería esclarecedor tener este dato.

      Saludos

    • Cerrado

      BocaDePez BocaDePez
      0

      Me parece que nos hemo colao, Todas responden al 80 porque…

      Me parece que nos hemo colao,

      Todas responden al 80 porque los router ADSL tiene abierta la interfaz Web para configurar el cacharro, porqué no probais el escaneo al 23??

      • Cerrado

        BocaDePez BocaDePez
        0

        Soy neXuS. en primer lugar quiero preguntarte como un modem…

        Soy neXuS. en primer lugar quiero preguntarte como un modem 56k va a tener abierto el puerto 80 cuando no tiene ni servidor http ni es un router o modem adsl que son los que llevan configuracion por web.

        Si digo que hasta los 56k terra tienen abierto el 80 es porque lo tengo comprobado, y no me vengais diciendo que es que tiene un servidor web porque no es normal que te salgan tropecientas ips seguidas con el 80 abierto. En pcs de amigos que tienen modem 56k lo he comprobado, yo configuro esos equipos y estan capados al 100%, pero luego al escaneo el 80 responde.

        Salu2

      • Cerrado

        BocaDePez BocaDePez
        0

        en mi ip por mucho que intentes acceder desde fuera a la…

        en mi ip por mucho que intentes acceder desde fuera a la interfaz web no puedes, tengo el trasto en monopuesto y el ordenador no tiene abierto el puerto 80, eso esta claro, antes no pasaba esto. de proxy transparentes y tal... no tengo ni idea, pero desde luego antes no pasaba esto.

  • Cerrado

    Ampliar prueba

    Si es cierto que han instalado un proxy transparente, no hay porque limitarse a comprobar rangos d direcciones de T. Debería pasar lo mismo con todos las direcciones IP de internet. Todas deberían responder al puerto 80. De hecho tendría mucho más sentido intentar cachear cualquier conexión web del mundo mundial (cnn, marca, as, el pais...) antes que cachear las propias web que tienen los usuarios ADSL entre si.lip

    • Cerrado

      BocaDePez BocaDePez
      0

      nunca has pensado que igual estamos en una red que se llama…

      nunca has pensado que igual estamos en una red que se llama red nuria y que ya les empieza a costar las ips fijas ... lo que pasa es que tu seguirias teniendo tu ip "fija" en su intranet y saldriamos por ips comunes de routers, esto se podria estar pensando en vez de mandar a un telefonico a cabiarte la config del router para ponerte dhcp.

      saludos

      • Cerrado

        Como bien dices, un proxy, además de para cachear tb se puede…

        Como bien dices, un proxy, además de para cachear tb se puede usar para que un grupo de ususarios salgan a internet con una IP comun. Sin embargo, ese uso es más utilizado cuando tenemos una intranet y queremos tener un punto común y compartido de conexión con internet. Este diseño es ampliamente usado cuando los usuarios necesitan acceso a la web y 4 cosas más porque facilita la gestión y la seguridad de la intranet.

        Cuando nos conectamos a internet via un ISP siempre obtenemos una IP pública (todos los ADSL tienen una, cuando conectas por modem tb). Con este esquema T. ya ha gastado una direccion IP publica para ti. Que va a ganar con agrupar las conexiones web bajo la IP del proxy?, gastar otra IP publica. Si los ADSL tuvieran IP privada, esto tendría sentido, pero entonces ya no proporcionarían una conexión real a la red (a no ser que proxyficaran todos los protocolos del mundo mundial).

        Sin embargo, tu comentario me ha hecho meditar y quizás el proxy transparente, además de para caching pueda estar usandose para interceptar todas las peticiones web de los usuarios y "controlar" via los log del proxy las web que visitamos cada uno de nosotros.

        Saludos, BocaDePez

        PD: Por cierto, la red de ADSL no era RIMA?

        • Cerrado

          BocaDePez BocaDePez
          0
          si te lees bien la lssi, cualquier usuario no tiene derecho a…

          si te lees bien la lssi, cualquier usuario no tiene derecho a ponerse un servidor, esto no significa en absoluto que no se haga, asi que la ip comun por router desde una intranet con 1 ip publica para bastantes ordenadores como ya saca a sus usuarios algun proovedor de cable de este pais, es legal.

          ademas fijate si ahorran ... meten el rango 213.73.94.X es decir unas 253 makinas por un router y convierten de manera transparente tu ip en ip privada. maskerading rules. o no tienes tu detras de tu router varios equipos, otra cosa es que si lo hacen asi se salten una de las normas de asignacion de ips de la IETF pero vamos, a telefonica poco creo que le importe mientras no de problemas.

          el proxy que investigamos estoy seguro que existe desde hace poco porque a mi tb me pasa lo que al q ha enviado la noticia desde hace 2 semanas y pico ... a que se debe ese proxy si no es para empezar a enrutar desde una intranet las comunicaciones, date cuenta que solo canta en el udp.

          el proxy (son varios) es un proxy transparente que no cachea y que los router cabecera de cada segmento de la red de clase no se si B o C, (esto me gustaria mirarlo aunque es imposible porque me parece que es un bridge transparente (sin ip) ) pues solo sirve para filtrar pedidos, no hace nada, no cachea , solo captura peticiones, es decir un proxy sin cache de nada

          y la red de adsl se llama red nuria ;) , lo que se llama red RIMA es la global de telefonica que tiene 90 Gb/s, cmpruebalo haciendo un traceroute con resolucion de nombres ;)

          por cierto leete el contrato, que el adsl no garantiza ip fija en contra de lo que piensan casi todos, de momento la estan dando pero cuando firmaste habia una clausula de las que no se leen que pone que en cualquier momento te puedes quedar sin tu ip ;)

          saludos

          • Cerrado

            BocaDePez BocaDePez
            0
            Soy nuevo en esto del ADSL y me preguntaba si me puedes decir…

            Soy nuevo en esto del ADSL y me preguntaba si me puedes decir kual es la opcion del traceroute para medir el ancho de banda. Por mas que busko no la enkuentro. :-(

            THX

          • Cerrado

            BocaDePez BocaDePez
            0
            Solo decirte que... Yo accedo sin proxy transparente. He…

            Solo decirte que...

            • Yo accedo sin proxy transparente. He mirado los logs de un servidor de la universidad al que accedo, y las conexiones HTTP aparecen procedentes de mi IP (213.97.196.x) (prueba: este mensaje aparece de un tal BocadePez con la IP 213.97.196.x).
            • Mi IP está en el DNS de nuria, en efecto... pero todo el transporte va por RIMA. Sin embargo, nuevos contratos te dan IP directamente de la red RIMA. Por ejemplo, un amigo tiene una IP de 80.33.x.y y... eso es x.Red-80-33-y.pooles.rima-tde.net. Fuentes de la Red IP ya nos confirmaron que la red NURIA había quedado reservada para usos más profesionales, y que todas las ADSL de Telefónica habían sido migradas a RIMA.

            En definitiva, en tu mensaje haces demasiadas suposiciones. En efecto, nadie nos garantiza IP fija, ni nadie nos garantiza que no nos vayan a obligar a pasar por un proxy transparente (tal vez eso dependa del ISP, según tenga o no sobrecargada su salida a Internet y nos quiera hacer pasar por una cache...).
            Yo necesito la IP fija. Conozco decenas de PYMES que la necesitan. El día que nos la quiten ... algunos preguntaremos cuánto hay que pagar por mantenerla. Otros se darán de baja.

  • Cerrado

    BocaDePez BocaDePez
    0

    ........ein?

    Yo tengo ip 80.X.X.X y te aseguro ke no tengo el puerto 80 abierto ni mi modem es un speed...asike revisa los resultados, maejte :)

  • Cerrado

    BocaDePez BocaDePez
    0

    No se, no se...

    Un proxy transparente lo que debe hacer es cachear las peticiones de salida no las que entran sin haber habido antes un paquete de salida.

    Seguramente sean los SpeedStream que no le han puesto el parche al router }:-)

    • Cerrado

      Esto no es cosa de los speedstream como puedas pensar, yo…

      Esto no es cosa de los speedstream como puedas pensar, yo llevo notando esto como hace 2 semanas o mas, haciendo escaneos a modem 56k terra, rangos 193.15x.xxx.xxx y los 213.xxx.xxx.xxx, y con los de adsl terra tambien aunque sea de ya.com , 80.xxx.xxx.xxx, 217.xxx.xxx.xxx.

      Salu2

1