Proxy transparente en ADSL terra ?

Hola desde hace dias, me he fijado en varios escaneos de puertos, aparentemente han colocado un proxy transparente. Cuando realizo un scan del puerto 80, de cualquier rango, dentro del rango del adsl de terra o fuera de el, me dice que todas las ips tienen el 80 abierto. No se si lo que estan haciendo es legal o ilegal. Si podeis mirarlo vosotros mismos. No se si solo me pasa a mi.

Seria interesante, que reportarais los resultados de un scan de puertos, de los rangos comentados, para poder verificar la autenticidad del incidente.

Responder

29 marzo 2002 a las 07:20

NetVicious
0

No se, no se...

Un proxy transparente lo que debe hacer es cachear las peticiones de salida no las que entran sin haber habido antes un paquete de salida.
Seguramente sean los SpeedStream que no le han puesto el parche al router }:-)

.. //\/ e t . \/ i c i o u s ..

Responder
Sammi 29 marzo 2002 a las 10:16 1
- 29 marzo 2002 a las 10:16
  
  Sammi
  6
  
  Esto no es cosa de los speedstream como puedas pensar, yo…
  
  Esto no es cosa de los speedstream como puedas pensar, yo llevo notando esto como hace 2 semanas o mas, haciendo escaneos a modem 56k terra, rangos 193.15x.xxx.xxx y los 213.xxx.xxx.xxx, y con los de adsl terra tambien aunque sea de ya.com , 80.xxx.xxx.xxx, 217.xxx.xxx.xxx.
  Salu2
  
  Responder
29 marzo 2002 a las 10:18

coolshield
6

yo me e hecho un scan y tengo el puerto invisible

pos eso y tengo firewall

Responder
29 marzo 2002 a las 10:31

Boca de Pez
0

........ein?

Yo tengo ip 80.X.X.X y te aseguro ke no tengo el puerto 80 abierto ni mi modem es un speed...asike revisa los resultados, maejte :)

Responder
29 marzo 2002 a las 11:31

VincentVega
6

Ampliar prueba

Si es cierto que han instalado un proxy transparente, no hay porque limitarse a comprobar rangos d direcciones de T. Debería pasar lo mismo con todos las direcciones IP de internet. Todas deberían responder al puerto 80. De hecho tendría mucho más sentido intentar cachear cualquier conexión web del mundo mundial (cnn, marca, as, el pais...) antes que cachear las propias web que tienen los usuarios ADSL entre si.lip

Responder
VincentVega 30 marzo 2002 a las 04:41 5
- 29 marzo 2002 a las 14:45
  
  Boca de Pez
  0
  
  nunca has pensado que igual estamos en una red que se llama…
  
  nunca has pensado que igual estamos en una red que se llama red nuria y que ya les empieza a costar las ips fijas ... lo que pasa es que tu seguirias teniendo tu ip "fija" en su intranet y saldriamos por ips comunes de routers, esto se podria estar pensando en vez de mandar a un telefonico a cabiarte la config del router para ponerte dhcp.
  saludos
  
  Responder
  VincentVega 30 marzo 2002 a las 04:41 4
  - 29 marzo 2002 a las 15:50
    
    VincentVega
    6
    
    Como bien dices, un proxy, además de para cachear tb se puede…
    
    Como bien dices, un proxy, además de para cachear tb se puede usar para que un grupo de ususarios salgan a internet con una IP comun. Sin embargo, ese uso es más utilizado cuando tenemos una intranet y queremos tener un punto común y compartido de conexión con internet. Este diseño es ampliamente usado cuando los usuarios necesitan acceso a la web y 4 cosas más porque facilita la gestión y la seguridad de la intranet.
    Cuando nos conectamos a internet via un ISP siempre obtenemos una IP pública (todos los ADSL tienen una, cuando conectas por modem tb). Con este esquema T. ya ha gastado una direccion IP publica para ti. Que va a ganar con agrupar las conexiones web bajo la IP del proxy?, gastar otra IP publica. Si los ADSL tuvieran IP privada, esto tendría sentido, pero entonces ya no proporcionarían una conexión real a la red (a no ser que proxyficaran todos los protocolos del mundo mundial).
    Sin embargo, tu comentario me ha hecho meditar y quizás el proxy transparente, además de para caching pueda estar usandose para interceptar todas las peticiones web de los usuarios y "controlar" via los log del proxy las web que visitamos cada uno de nosotros.
    Saludos, BocaDePez
    PD: Por cierto, la red de ADSL no era RIMA?
    
    Responder
    VincentVega 30 marzo 2002 a las 04:41 3
    - 29 marzo 2002 a las 23:51
      
      Boca de Pez
      0
      
      si te lees bien la lssi, cualquier usuario no tiene derecho a…
      
      si te lees bien la lssi, cualquier usuario no tiene derecho a ponerse un servidor, esto no significa en absoluto que no se haga, asi que la ip comun por router desde una intranet con 1 ip publica para bastantes ordenadores como ya saca a sus usuarios algun proovedor de cable de este pais, es legal.
      ademas fijate si ahorran ... meten el rango 213.73.94.X es decir unas 253 makinas por un router y convierten de manera transparente tu ip en ip privada. maskerading rules. o no tienes tu detras de tu router varios equipos, otra cosa es que si lo hacen asi se salten una de las normas de asignacion de ips de la IETF pero vamos, a telefonica poco creo que le importe mientras no de problemas.
      el proxy que investigamos estoy seguro que existe desde hace poco porque a mi tb me pasa lo que al q ha enviado la noticia desde hace 2 semanas y pico ... a que se debe ese proxy si no es para empezar a enrutar desde una intranet las comunicaciones, date cuenta que solo canta en el udp.
      el proxy (son varios) es un proxy transparente que no cachea y que los router cabecera de cada segmento de la red de clase no se si B o C, (esto me gustaria mirarlo aunque es imposible porque me parece que es un bridge transparente (sin ip) ) pues solo sirve para filtrar pedidos, no hace nada, no cachea , solo captura peticiones, es decir un proxy sin cache de nada
      y la red de adsl se llama red nuria ;) , lo que se llama red RIMA es la global de telefonica que tiene 90 Gb/s, cmpruebalo haciendo un traceroute con resolucion de nombres ;)
      por cierto leete el contrato, que el adsl no garantiza ip fija en contra de lo que piensan casi todos, de momento la estan dando pero cuando firmaste habia una clausula de las que no se leen que pone que en cualquier momento te puedes quedar sin tu ip ;)
      saludos
      
      Responder
      VincentVega 30 marzo 2002 a las 04:41 2
      - 30 marzo 2002 a las 04:10
        
        Boca de Pez
        0
        
        Solo decirte que... Yo accedo sin proxy transparente. He…
        
        Solo decirte que...
        Yo accedo sin proxy transparente. He mirado los logs de un servidor de la universidad al que accedo, y las conexiones HTTP aparecen procedentes de mi IP (213.97.196.x) (prueba: este mensaje aparece de un tal BocadePez con la IP 213.97.196.x).
        Mi IP está en el DNS de nuria, en efecto... pero todo el transporte va por RIMA. Sin embargo, nuevos contratos te dan IP directamente de la red RIMA. Por ejemplo, un amigo tiene una IP de 80.33.x.y y... eso es x.Red-80-33-y.pooles.rima-tde.net. Fuentes de la Red IP ya nos confirmaron que la red NURIA había quedado reservada para usos más profesionales, y que todas las ADSL de Telefónica habían sido migradas a RIMA.
        En definitiva, en tu mensaje haces demasiadas suposiciones. En efecto, nadie nos garantiza IP fija, ni nadie nos garantiza que no nos vayan a obligar a pasar por un proxy transparente (tal vez eso dependa del ISP, según tenga o no sobrecargada su salida a Internet y nos quiera hacer pasar por una cache...).
        Yo necesito la IP fija. Conozco decenas de PYMES que la necesitan. El día que nos la quiten ... algunos preguntaremos cuánto hay que pagar por mantenerla. Otros se darán de baja.
        
        Responder
      - 30 marzo 2002 a las 04:41
        
        VincentVega
        0
        
        Soy nuevo en esto del ADSL y me preguntaba si me puedes decir…
        
        Soy nuevo en esto del ADSL y me preguntaba si me puedes decir kual es la opcion del traceroute para medir el ancho de banda. Por mas que busko no la enkuentro. :-(
        THX
        
        Responder
29 marzo 2002 a las 12:37

MaX
12

Un scan

El moderador pedia un par de escaneados, ahi van.
Primero he escogido un rango al azar de adsl de 10 IP's, y vemos cuales estan conectadas:
VaLKyR:~# nmap -sP 213.97.*.1-10
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Host 213-97-*-5.uc.nombres.ttd.es (213.97.*.5) appears to be up.
Host 213-97-*-6.uc.nombres.ttd.es (213.97.*.6) appears to be up.
Host 213-97-*-8.uc.nombres.ttd.es (213.97.*.8) appears to be up.
Host 213-97-*-9.uc.nombres.ttd.es (213.97.*.9) appears to be up.
Nmap run completed -- 10 IP addresses (4 hosts up) scanned in 1 second
Ahora un scan a esas maquinas en tcp y al puerto 80:
VaLKyR:~# nmap -sT -p 80 213.97.*.5,6,8,9
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on 213-97-*-5.uc.nombres.ttd.es (213.97.*.5):
Port State Service
80/tcp filtered http
Interesting ports on 213-97-*-6.uc.nombres.ttd.es (213.97.*.6):
Port State Service
80/tcp filtered http
Interesting ports on 213-97-*-8.uc.nombres.ttd.es (213.97.*.8):
Port State Service
80/tcp open http
Interesting ports on 213-97-*-9.uc.nombres.ttd.es (213.97.*.9):
Port State Service
80/tcp filtered http
Nmap run completed -- 4 IP addresses (4 hosts up) scanned in 7 seconds
Vemos q uno lo tiene abierto el puerto 80, ademas esta corriendo un Microsoft-IIS/5.0
El resto estan filtrados por un firewall/router.
Ahora un scan en udp y puerto 80:
VaLKyR:~# nmap -sU -p 80 213.97.*.5,6,8,9
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
The 1 scanned port on 213-97-*-5.uc.nombres.ttd.es (213.97.*.5) is: closed
The 1 scanned port on 213-97-*-6.uc.nombres.ttd.es (213.97.*.6) is: closed
Interesting ports on 213-97-*-8.uc.nombres.ttd.es (213.97.*.8):
Port State Service
80/udp open http
Interesting ports on 213-97-*-9.uc.nombres.ttd.es (213.97.*.9):
Port State Service
80/udp open http
Nmap run completed -- 4 IP addresses (4 hosts up) scanned in 3 seconds
La 213.97.*.8 es normal q tenga el 80/udp en escucha, pero ¿por que el 213.97.*.9?
Ahora cogemos un rango extranjero, y hacemos los mismos pasos q antes:
VaLKyR:~# nmap -sP 204.202.158.181-191
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Host (204.202.158.181) appears to be up.
Host (204.202.158.182) appears to be up.
Host (204.202.158.184) appears to be up.
Host (204.202.158.186) appears to be up.
Host (204.202.158.187) appears to be up.
Host (204.202.158.188) appears to be up.
Host (204.202.158.191) appears to be up.
Nmap run completed -- 11 IP addresses (7 hosts up) scanned in 4 seconds
VaLKyR:~# nmap -sT -p80 204.202.158.181,182,184,186,187,188,191
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on (204.202.158.181):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.182):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.184):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.186):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.187):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.188):
Port State Service
80/tcp filtered http
Interesting ports on (204.202.158.191):
Port State Service
80/tcp filtered http
VaLKyR:~# nmap -sU -p80 204.202.158.181,182,184,186,187,188,191
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on (204.202.158.181):
Port State Service
80/udp open http
Interesting ports on (204.202.158.182):
Port State Service
80/udp open http
Interesting ports on (204.202.158.184):
Port State Service
80/udp open http
Interesting ports on (204.202.158.186):
Port State Service
80/udp open http
Interesting ports on (204.202.158.187):
Port State Service
80/udp open http
Interesting ports on (204.202.158.188):
Port State Service
80/udp open http
Interesting ports on (204.202.158.191):
Port State Service
80/udp open http
Nmap run completed -- 7 IP addresses (7 hosts up) scanned in 11 seconds
Probemos ya con un solo ip de uni2 :
VaLKyR:~# nmap -sT -p 80 62.37.*.29
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
The 1 scanned port on 62-37-*-29.dialup.uni2.es (62.37.*.29) is: closed
Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds
VaLKyR:~# nmap -sU -p 80 62.37.*.29
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
The 1 scanned port on 62-37-*-29.dialup.uni2.es (62.37.*.29) is: closed
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
Ahi tienen unos cuantos resultados, q los expertos saquen conclusiones ;)
Nota: Oculte los rangos de IP's españolas por si afecta/molesta a alguien, las extranjeras me dan un poco igual ;)

Valhalla. Mi conexión: ADSL Telefónica 10 Mb

Responder
VincentVega 31 marzo 2002 a las 10:54 4
- 30 marzo 2002 a las 11:14
  
  Boca de Pez
  0
  
  Me parece que nos hemo colao, Todas responden al 80 porque…
  
  Me parece que nos hemo colao,
  Todas responden al 80 porque los router ADSL tiene abierta la interfaz Web para configurar el cacharro, porqué no probais el escaneo al 23??
  
  Responder
  Boca de Pez 31 marzo 2002 a las 06:19 2
  - 30 marzo 2002 a las 13:06
    
    Boca de Pez
    0
    
    en mi ip por mucho que intentes acceder desde fuera a la…
    
    en mi ip por mucho que intentes acceder desde fuera a la interfaz web no puedes, tengo el trasto en monopuesto y el ordenador no tiene abierto el puerto 80, eso esta claro, antes no pasaba esto. de proxy transparentes y tal... no tengo ni idea, pero desde luego antes no pasaba esto.
    
    Responder
  - 31 marzo 2002 a las 06:19
    
    Boca de Pez
    0
    
    Soy neXuS. en primer lugar quiero preguntarte como un modem…
    
    Soy neXuS. en primer lugar quiero preguntarte como un modem 56k va a tener abierto el puerto 80 cuando no tiene ni servidor http ni es un router o modem adsl que son los que llevan configuracion por web.
    Si digo que hasta los 56k terra tienen abierto el 80 es porque lo tengo comprobado, y no me vengais diciendo que es que tiene un servidor web porque no es normal que te salgan tropecientas ips seguidas con el 80 abierto. En pcs de amigos que tienen modem 56k lo he comprobado, yo configuro esos equipos y estan capados al 100%, pero luego al escaneo el 80 responde.
    Salu2
    
    Responder
- 31 marzo 2002 a las 10:54
  
  VincentVega
  6
  
  A mi me parece que por la salida del portscan que nos ha…
  
  A mi me parece que por la salida del portscan que nos ha madado MaX no existe tal proxy invisible..... o al menos no existe en la zona de la que cuelga la conexión de MaX.
  Dado que Sanity y neXuS siguen detectando que todas las IP les responden al puerto 80, sería interesante que postearan la salida de un portscan hacia un rango de IP extranjeras, a ser posible de algunas de las que se tuviera la absoluta seguridad de que no pueden tener un servidor web (por ejemplo las direcciones de los enlaces de los routers de redIris) para tener la prueba definitiva de que el proxy existe.
  Si han colocado un proxy invisible, no tiene porque afectar a los usuarios. Es muy posible que coloquen el proxy primero en algunas zonas para ver su comportamiento. Sanity, neXuS de donde cuelga vuestra conexión, estais en la misma ciudad? Sería esclarecedor tener este dato.
  Saludos
  
  Responder
30 marzo 2002 a las 12:22

Dubroc
6

En MENTA esto ya nos lo conocemos

Por desgracia, los usuarios de MENTA, ya conocemos lo de que nos pongan un "proxy", y los muchisimos problemas que esto connleva.
El "proxy" de MENTA es en concreto son varias aparatos (proxy-cache) de la marca CacheFlow, creo recordar que son los modelos 6000.
Asi que espero que no sea cierto, porque a nosotros nos ha causado muchos problemas. Si quereis saber sobre estos problemas, podeis visitar la web de usuarios de MENTA en www.maduixa.net

Responder
mg8 3 abril 2002 a las 15:26 3
- 30 marzo 2002 a las 15:20
  
  Boca de Pez
  0
  
  Pues eso, no entiendo lo que pone en www.maduixa.net, solo…
  
  Pues eso, no entiendo lo que pone en www.maduixa.net, solo entiendo el ingles y el español...
  Lo siento.
  
  Responder
  Boca de Pez 31 marzo 2002 a las 15:19 1
  - 31 marzo 2002 a las 15:19
    
    Boca de Pez
    0
    
    Sorry, se me olvido decir que www.maduixa.net, es una web en…
    
    Sorry, se me olvido decir que www.maduixa.net, es una web en catalán, aunque gran parte de los mensajes de su forum en castellano.
    
    Responder
- 3 abril 2002 a las 15:26
  
  mg8
  6
  
  me parece que si es una web para que pueda verla la gente…
  
  me parece que si es una web para que pueda verla la gente ponerla en un idioma desconocido por lo menos para i que soy español y la web es es de usuarios de un servicio en españa es hacer el tonto y7 esta fuera de lugar.
  Daniel
  
  Responder
3 abril 2002 a las 12:41

Boca de Pez
0

a mi me pasa lo mismo

a mi me pasa lo mismo estoyo muy mosca, yo tengo todo cerrado y me dice que el puerto esta abierto

Responder
11 abril 2002 a las 08:11

Boca de Pez
0

Scan de puertos Shileds Up!

He comprobado con el scan de puertos Shields Up! (https://grc.com/x/ne.dll?bh0bkyd2) y tengo el puerto 80 abierto.
El router (3Com 812) tiene un filtro para rechazar las tramas a dicho puerto y además una redirección a una IP inexistente dentro de mi LAN para dicho puerto en NAT.

Responder
11 abril 2002 a las 15:54

Boca de Pez
0

Comprobado

Comprobado, mi dirección IP es la 213.96.96.xx, sin embargo en algunos casos aparezco como 80.58.1.xx. Tengo comprobado que este proxy intercenta tramas dirigidas a ciertos puertos (80 por ejemplo) pero no a otros, todavía (el 8080, 8000, 25...). Mi servidor de Correo funciona asi como mi servidor Web usando dichos puertos.

Responder
12 abril 2002 a las 06:56

etion
6

Proxy pa tos

Segun lo que se de redes todas las conexiones que se hacen a internet se hacen a traves de un proxy. He leido en las respuestas que como va a tener un proxy porque tendria proxificar todos los protocolos no creo que sea asi ya que las conexiones por modem funcionan asi y admiten p2p.
Esta es mi opinion aunque no estoy muy seguro en cuanto la direccion del proxy linux si que admmite traceroute y creo que es 10.3.224.1 aunque tambien podria ser cualquiera del rango
80.58.77.225/93.

Responder