BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

¿Bloquea Digi los puertos SMB/CIFS 137-139 y 445?

spider22

He estado casi 2 horas intentando redireccionar X dirección a X puerto desde la WAN a un equipo de mi LAN a traves del router de Digi, después de haber chequeado cortafuegos, configuraciones etc. Incluso mirando el tráfico de red, te das cuenta de que el router de Digi no redirecciona tráfico, aun así teniendo las opciones en el.

Llamo a Digi "ultima opción" y en efecto, navego a través de una GC-NAT. Hay el problema. Religiosamente pago el euro extra en concepto "Conexión Plus" para que pueda redireccionar tráfico entrante de la WAN a mi LAN.

Algunos puertos no privilegiados que he probado con netcat funcionan, así que doy por finalizado el problema, y el redireccionamiento está activo.

Ok pues aqui el problema. Se que algunos ISP bloquean puertos concretos como el del mail 25, etc. y en este caso seguro que Digi también bloquea el puerto SMB/CIFS. ¿Alguien sabe si mi problema de que no se redireccionen conexiones de SMB/CIFS a mi LAN a través de la WAN es por culpa de Digi que los bloquea? Si no, los llamaré de nuevo, a ver si tengo que pagar un "plus seguridad".

Si, se que es inseguro. Pero estoy haciendo pruebas con Truenas, ya que he adquirido un pequeño server para hacer pruebas. Bien si Digi en efecto bloquea dichos puertos,y no quiere darme paso, ¿tendría que usar una VPN?

Si aun sigo en Digi para la gente que me recuerde de este hilo: Sacar user y pass de ONT ZTE F601 de Digi para ponerlos en SFP.

Por poco tiempo, ya que al tener un server donde poder hacer todo eso, solo tengo que organizar unas cosillas. Por otra parte ¿Telefónica tiene ese tipo de bloqueos? Por que seguro que Digi me está dando problemas.

Meow
1

El único puerto que Digi bloquea es el 25, pero lo desbloquean sin problemas si lo solicitas expresamente. El servicio Conexión Plus es necesario para salir del CG-NAT y poder abrir cualquier puerto, pero no es obligatorio si solamente quieres abrir el puerto 25, tal y como indican ellos mismos en su página web.

🗨️ 2
apocalypse
1

El servicio Conexión Plus es necesario para salir del CG-NAT y poder abrir cualquier puerto, pero no es obligatorio si solamente quieres abrir el puerto 25, tal y como indican ellos mismos en su página web.

Estando en CG-NAT no se puede redireccionar ningún puerto entrante, ni el 25. Eso está mal redactado, se refiere a poder realizar conexiones salientes al puerto 25. "Abrir puertos" se suele usar para referirse a tráfico entrante.

🗨️ 1
Meow

Deberían corregirlo, sí. Gracias por el apunte.

spider22

Vaya, entonces tengo que hacer algo mal. En Truenas he desactivado temporalmente PF para hacer pruebas, se supone que no tengo nada intermedio que pueda bloquear la conexion. A no ser que tenga alguna opcion que deshabilite conexiones remotas.

Alguien sabe si en el propio cliente de Windows o en el server tiene algun tipo de opcion de este estilo? Si no igualmente podria usar NFS, ya que por lo que he visto Windows tambien lo soporta de manera mas limitada pero hay esta.

Saludos.

P.D:

Igualmente no he analizado el trafico, a ver si llegan las conexiones a mi LAN del protocolo SMB/CIFS, pero despues de lo que me has dicho de que Digi solo bloquea el 25, no se lo hare en Windows y en truenas por si las moscas.

fendergetafe

Hola:

Abre los puertos en tcp/udp

image.webp
EmuAGR
2

La sospecha de que es inseguro es bien fundada. No tengas SMB abierto a Internet o van a tardar dos días en hackearte la red entera con un ransomware.

No pierdas el tiempo en probar algo que no vas a usar, empieza haciendo pruebas con la VPN.

Amenhotep

Seguramente los puertos SMB estén bloqueados y Digi hace bien. Si quieres comunicarte en Internet por SMB usa una VPN. SMB no está pensado para Internet sino para redes locales.

Bramante

Ni con la versión 3 de SMB, que puede incorporar cifrado, es buena idea exponer ese servicio a Internet.

Servidor VPN corriendo en el NAS y a partir de ahí, se construye.

Black Hole

Yo siempre he oído que todos los proveedores de Internet bloqueaban SMB/CIFS desde hace 20 años y la era del ADSL…

🗨️ 3
superllo
1

Cuando me puse Ono (150 Kbps) me metía en los discos de los vecinos entrando en "barra barra direcciónIP barra C$". Lo "solucionaron" poco después. Con ir cambiando el último octeto de mi dirección IP ya los veía.

🗨️ 1
apocalypse
2

Con cualquier conexión con la que se tuviese la IP pública en el equipo, el cliente de redes de microsoft habilitado en la interfaz y un firewall mal configurado (o no tener ninguno) era posible que te pasase eso.

Hasta el XP Service Pack 2, no se introdujo/habilitó un firewall por defecto. Así que si no instalabas uno o tenías uno externo, estabas completamente expuesto.

Con Ono y otras cableras anteriores (supercable, auna/retevisión) era aún más fácil colarse por SMB en clientes del mismo nodo, porque asignaban la IP pública con una máscara /24. Lo que hacía que incluso con un firewall, pudiese acceder un vecino a tu equipo de la forma que describes porque por defecto el firewall de Windows permite el acceso a cualquier equipo dentro de tu misma subred. Más tarde cambiaron la máscara por /30 creo recordar bloquearon las comunicaciones L2 entre clientes del mismo nodo.

apocalypse

Creo que no. Tener ese servicio expuestos es una burrada, pero los puertos no los bloquean. Se puede comprobar facilmente sin exponerse, redireccionando esos puertos a otros internos en el que esté escuchando algún servicio (servidor http, servidor VPN para UDP).

La seguridad debe ser cosa del cliente, no imponerlo el ISP a base de bloqueos.

pepejil

Probablemente Digi esté capando esos accesos… Y sinceramente, te están haciendo un favor enorme, porque SMB no está ni diseñado para ser expuesto a Internet y mucho menos es un protocolo seguro para tal fin.

Necesitas una VPN para tal fin… Y si es propio mejor, porque tampoco tienes garantías de que los proveedores de VPN no los tengan capados.

spider22
1

Chicos, agradezco todos los comentarios, pero como dije en mi primer mensaje se de la peligrosidad de abrir ese tipo de servicios a la WAN. Igualmente no necesito un manual de como abrir puertos ya que se hacerlo, si no, no podria a ver conseguido redireccionar el trafico de netcat.

Bien, seguramente sea un bloqueo de Digi, igualmente los voy a llamar y que me lo digan ellos, yo pienso que la seguridad la tiene que impartir el usuario y el ISP dejarse de tantos bloqueos y historias. Pero si entiendo que hay usuarios que no le importe ese tipo de cosas y las desconozca y de hay ese tipo de bloqueos por parte del ISP.

He probado el cliente NFS en windows 10, en efecto funciona a traves de la WAN, solo es un bloqueo a los protocolos SMB/CIFS.

Lo de la VPN es un punto que tenia pensado, pero yo pienso de otra forma, cuando me aseguro de que los servicios funcionan como espero, luego implemento politicas de seguridad o lo que se necesite.

Tan peligroso es SMB en la WAN, si se aplican VPN y politicas?

Os comentare que me dijo Digi, espero que el tecnico no me tire la caña de que es peligroso…

Gracias.

EDITO:

Me explique mal en un punto, y de hay el mal entendido "Tendria que usar una VPN?" y de hay entendieron que pretendia usar SMB sin proteccion, disculpas por eso.

🗨️ 3
lhacc
1

Si se usa VPN entonces no hay problema, pero la VPN va por otro puerto, y no te afectaría el bloqueo de Digi.

De todos modos estoy de acuerdo contigo: Digi no debería bloquear nada. Si te hackean es problema tuyo.

pepejil

Tan peligroso es SMB en la WAN, si se aplican VPN y politicas?

Una VPN es una extensión de una red local, es evidente que se tiene que comportar como si estuvieras conectado a una LAN, con lo que no es peligroso. De hecho es muy común ver discos en red montados como SMB a través de una VPN, porque así trabajan la mayoría de empresas. El tráfico en la VPN está cifrado entre el cliente y el servidor.

Supongo que Digi bloquea por hacer un favor a su clientela, ya que no hay peligrosidad por parte del ISP que un cliente fuese hackeado. Si sería peligroso que no tomasen medidas con el puerto 25 (SMTP) ya que spam generado desde su red y con sus clientes con IPs asignados del ISP, si generarían un problema para la operadora.

vukits

Lo de la VPN es un punto que tenia pensado, pero yo pienso de otra forma, cuando me aseguro de que los servicios funcionan como espero, luego implemento politicas de seguridad o lo que se necesite.

excepto que exponer SMB a internet, significa que te infecten la máquina potencialmente al instante.

Te repito de que tienes una manera muy mala de trabajar. Y echarle de eso la culpa a Digi, no me parece justo.

spider22

Como bien dijo el compañero @Meow, segun Digi ellos solo bloquean el puerto 25. Pero aun sigo sin poder realizar conexiones remotas con SMB. No lo entiendo, no llegan los paquetes a mi servidor.

No se si ya es problema del propio server SMB, pero vamos que tengo TCMDUMP capturando trafico y ni rastro de paquetes SMB eso es lo que me extraña. Pero, ya ni idea si es el propio cortafuegos del router de Digi, que no es capaz ni de mostrar un puto log macho…

No tengo ningun router, de otro modo les pedire mi cliente PPP, y hare un PPPoE sobre Truenas, pero al parecer este router no se puede poner modo puente, asi que supongo que tendre que conectar la ONT directa a mi server para realizar un PPPoE, es correcto?

No se me ocurre otra forma, para ver si se me estan denegando las puñeteras conexiones SMB, o que pasa. Al final me tendre que hacer la VPN antes de tiempo. Igualmente voy a ver "no se donde" si el cliente SMB de W10 tiene algun bloqueo para conexiones externas.

Al smb.conf de mi server le añadi esta regla "host allow = 0.0.0.0/0" con la intencion de permitir a cualquier tipo de direccion la conexion, pero nada. Pero es lo que digo los paquetes no llegan a mi server.

Gracias, y ya os contare.

esteveli
1

Sobre el puerto 25, ten en cuenta que las IPs residenciales estan fichadas como spam en muchas listas, lo que hace inviable mandar emails desde ahí

spider22

Lo que no me parece justo es que me digan que no bloquean determinado puerto, y si lo hacen. Ya que he pagado por un servicio, que no estan cumpliendo aun que sea de 1€. Lo he mirado de otra forma, como no se me ocurrio antes he puesto netcat en el puerto 445 y en efecto las conexiones son canceladas por el tiempo de espera "no es problema del cliente o el server", vamos que no me llegan los paquetes ya que los estaran bloqueando.

Segun ellos no, solo el puerto 25. Es eso justo? Que te tomen el pelo?

Por favor, dije desde mi primer post que se que esta mal hacer todo esto a "pelo", pero bueno tendre que implementar la VPN antes de tiempo. Aun no he tenido la oportunidad de crear la conexion PPP en mi server, si tambien de una forma insegura, eso ahora no importa tambien tengo pensado crear un router, pero eso es otra historia.

Por otra parte, se puede tracear las conexiones de smb o cualquier otro tipo de protocolo? Algo similar como traceroute? Para ver donde se quedan mis paquetes por asi decirlo, "a ver si van a tener razon y me estan bloqueando los paquetes en otro nodo" perdon por si esto que estoy diciendo es un poco ficticio.

Saludos

🗨️ 4
lhacc

Ya ves, ahora que lo pienso, es aún peor: te hacen pagar 1€ por abrir puertos pero no puedes abrir todos.

rbetancor

Y así, por curiosidad … ¿has probado desde otra ubicación de origen?, no vaya a ser que el que bloquea es el router desde donde lo estás intentando.

🗨️ 2
spider22

No, el escenario es el siguiente.

Tengo un server dell de rack, con truenas y conectado por cable a mi red, no dispone de wifi. Es el que esta detras del router de Digi. Y para tener una conexion remota, lo que estoy haciendo es poner mi movil en modo enrutador, y conectar mi portatil y desde hay realizo las conexiones remotas.

Lo que hare como comente antes, es configurar mi Truenas con el cliente PPP sobre ethernet, y asi poder quitar el router de Digi, para descartarlo.

🗨️ 1
rbetancor

estoy haciendo es poner mi movil en modo enrutador

¡Ajam, he ahí el kit de la cuestión! … La mayoría de las conexiones desde móvil, no solo están detrás de un CG-NAT, sino que están HIPERCAPADAS en cuanto a protocolos permitidos.

Siempre que doy formación de redes, digo lo mismo … para depurar un problema siempre hay que seguir la regla de … DaDpD "De Donde a Donde por Donde" , en tu escenario de laboratorio, que no me parece válido para la prueba que quieres hacer, pero eso es otro tema, no controlas más de 2 de los puntos … y es más que probable que tu problema sea "por donde" y es al intentar atravesar la red móvil con los protocolos SMB, es más que seguro que el DPI de la operadora te lo está filtrando.

Prueba desde otra conexión, la casa de un amigo o lo que sea … o pilla un servidor virtual gratuito de los que hay por internet y haces la prueba DESDE AHI, hacia tu conexión de Digi en casa.

No cuestiono la validez de lo que quiera que estés intentando probar, eso es otra película, pero te repito que tu entorno de "laboratorio" no me parece el más adecuado.

spider22

Vaya, no contaba con ese problema, de que la linea movil estuviera capada "tampoco es de extrañar". Mi entorno de "laboratorio" por que no te parece correcto? Por lo cutre que resulta lo del enrutador movil? xD. O de ya mas hablada en este hilo VPN?

Como dije anteriormente, voy haciendo por puntos, el primero era este, la VPN es otro, tambien tengo pensado aprender mas sobre ZFS el sistema de archivos con el que tengo el RAID, todo a su tiempo.

He pensado en cambiarme de operador como dije a telefonica para realizar correctamente lo que digo en este hilo:

Sacar user y pass de ONT ZTE F601 de Digi para ponerlos en SFP

Pero esto no es para el server, si no para el router. He pensado que de momento puedo contratar otra fibra adicional de telefonica, y poder trabajar con las 2, total, pago poco con Digi, no me parece tan descabellado tener dos fibras en casa, "pero bueno tengo contratado 300MB con Digi, y ahora me estan llegando 90MB, en fin, un tema muy hablado en el foro."

Asi tendria una linea dedicada hacer todas estas cosas. Lo que pretendo hacer no es tampoco que sea muy interesante, soy estudiante de DAM y a la vez informatico de campo "me compagino DAM". Me gusta aplicar cosas que veo por hay, y una de ellas es hacer un pequeño NAS y un router.

Igualmente, cualquier sugerencia lo que sea, me gustaria que me las dijerais, "por favor que no sea de la VPN" xD.

Saludos.

🗨️ 1
vukits

Lo que debes hacer es montarte un entorno de laboratorio como dios manda,

con todo configuado con nombres de hosts, en vez de IP's.

ya sea algo montado con Terraform, o montado a manita, a golpe de VirtualBox, virt-manager, libvirt,, openstack, kubernetes, rancher, etc,etc.

eso es de primero de carrera, se me hace raro explicartelo.