Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
41 lecturas y 11 respuestas
  • Cerrado

    [Editado 18/01/03 10:06]

    Cerrar ICPM de entrada pero no de salida

    Haber si alguien me puede decir como hacerlo en el 3com 812, con el firware 2.12.

    Creo que Joe Dalton ya lo dijo en un post de hace bastante tiempo, pero no logro encontrarlo, Dalton si me haces el favor de repetirlo o darme el link del post te estaria muy agradecido.

    O si alguien sabe como hacerlo y es tan amable de compartirlo con todos.

    Gracias

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 18/01/03 21:33]

      Perdona shark no queria quitarte meritos, me confundi al…

      Perdona shark no queria quitarte meritos, me confundi al confirmarlo Joe dalton.

      Todos en el foro sabemos lo que dominas el 3com.

      Haber si sabeis porque me da este error al crear el filtro, me sale esto:

      An Error Was Detected On The Previous Page
      The number of characters in the Mask field should be two times the number in the Length field. Two character make up one byte. (Ex: Length = 2 bytes, Mask = FFFF.)

      HTML Item name: Submit

      HTML Item value: Next >>.

      Return to last page

      Creo que sigo todos los pasos correctamente.

      • Cerrado

        An Error Was Detected On The Previous Page The number of…

        An Error Was Detected On The Previous Page
        The number of characters in the Mask field should be two times the number in the Length field. Two character make up one byte. (Ex: Length = 2 bytes, Mask = FFFF.)


        Eso parece un error a la hora de crear la máscara y/o poner el valor, te está diciendo que para tu máscara FF (16 bits) tienes que poner un valor de 16 bits, que puede ir desde 00 a FF (en hexadecimal) que iría del 0 a 255 (decimal), yo juraría que el error está en el valor 08, que estás poniendo solo 8 (sin el 0 delante).

        Ten en cuenta, que es un cacharro tonto y si tú le dices que vas a poner un valor de 16 bits y luego solo le das 8 bits pues no se entera de lo que le estás poniendo.

        • Cerrado

          [Editado 19/01/03 11:43]

          Gracias por responder pero lo que comentas lo he probado…

          Gracias por responder pero lo que comentas lo he probado bastantes veces, meto los valores tal como los puso shark.

          He probado a poner el es Equal 0x 08 (con ese espacio como puso Shark) y sin él, pero nada.

          Haber si la cago en algo elemental y no me doy cuenta, os explico como lo hago, haber si la cago en algo.

          1- entro por web al router y metos user y pass.
          2- cliko "configuration"-->"Setup Filters"---> marco "From Remote Site"-->"Next"--->"Create Filter"--> le meto un nombre y marco "Advanced IP"--->"next", marco "Protocol Type is Equal ICMP"--->next---> cliko "add" marco "and", marco "Generic Byte Filter" y los valores de Shark.

          ¿Hay ahi algun error?, Eternamente agradecido.

          • Cerrado

            1 Discard Packet if IP Protocol is Equal to ICMP 2 And Origin…

            1 Discard Packet if IP Protocol is Equal to ICMP
            2 And Origin Data, Offset 0, Length 1, Masked with 0xff is Equal to 0x 08

            Pues yo me he creado uno y sin problemas, sólo he conseguido sacar el error poniendo parámetros incorrectos. Asegurate de que lo siguiente esté en sus casillas:

            Length=1
            Mask=FF
            Data=08

            Yo me jugaría el cuello a que es eso, no se, prueba a poner el filtro a través del CLI, puedes usar el que yo posteé arriba y asignarlo a la vc, o al interface ATM.

            • Cerrado

              Gracais tiiooooo ¡¡¡¡¡¡¡ Me nos mal que me lo distes mascao.…

              Gracais tiiooooo ¡¡¡¡¡¡¡

              Me nos mal que me lo distes mascao.

              El fallo era que ponia todo entero 0xFF , 0x 08 , en vez de
              tan solo FF o 08.

              Una gran cagada, pero ahora si lo acepto.

              Corro raudo y veloz a probarlo.

              Mil Gracias.

    • Cerrado

      Filter Name: No manda Replys Protocol: IP Enabled: Yes…

      Filter Name: No manda Replys Protocol: IP Enabled: Yes

      Discard Packet if IP Protocol is Equal to ICMP
      And Origin Data, Offset 0, Length 1, Masked with 0xFF is Equal to 0x 08

      Juraría q el post era mio ;P

      _________________

      Por cierto dalton (si me lees) la propuesta de entrar a moderador de este foro sigue en pie (y no estás obligado a nada, ...)

      • Cerrado

        Si, ratifico que el post era tuyo, no mío, yo solo corroboré…

        Si, ratifico que el post era tuyo, no mío, yo solo corroboré su correcto funcionamiento.

        En cuento a lo otro ahora te mando un e-mail. :P

        Saludos.

      • Cerrado

        BocaDePez BocaDePez
        6

        Pues eso, si por favor puedes poner como debería quedar el…

        Pues eso, si por favor puedes poner como debería quedar el filtro si uso el CLI para establecerlo.

        ¿De verdad se obtiene respuesta de los pings salientes, y se rechazan los pings entrantes?

        Gracias y Saludos

        • Cerrado

          #filter IP: #Filtra los ping entrantes 5 AND PROTOCOL=ICMP; 6…

          #filter
          IP:

          #Filtra los ping entrantes
          5 AND PROTOCOL=ICMP;
          6 REJECT GENERIC=>origin = DATA/offset = 0/length = 1/mask = 0xFF/value = 0x08;

          Ahí tienes cómo se hace para que filtre los pings, ya sabes cómo va, genera el archivo en tu pc, lo subes por tftp, y pones en línea de comandos:

          Set vc internet input_filter nombrearchivo.FLT

          dónde internet es el nombre de tu nombre de conexión vc y el nombrearchivo evidente :P

          • Cerrado

            BocaDePez BocaDePez
            6
            Hecho, Muchas Gracias!!, lo único es que yo lo he aplicado a…

            Hecho, Muchas Gracias!!, lo único es que yo lo he aplicado a toda la interface atm:1 ; hasta ahora tenía un filtro que rechazaba todo el tráfico ICMP y cuando quería hacer ping lo quitaba :-)

            Aprovecho, para preguntarte otra cosa, que siempre he creido que no se podía hacer, quizás se pueda :-) :

            ¿Cómo puedo hacer que el router en multipuesto no responda que los puertos está cerrados al tráfico entrante desde Internet? Yo quiero que no responda nada para que todos los puertos sean invisibles, por ejemplo tengo un filtro que rechaza el tráfico con destino los puertos 80 y 23, y esos puertos en los scaners aparecen como invisibles (stealthed), aunque también tengo los servicios httpd y telnet deshabilitados y ahora creo que es por esto que salen invisibles, no me acuerdo bien :-) , en cambio el resto como cerrados.

            No es un gran problema, pero me gustaría saber si se puede hacer algo.

            Muchas Gracias de nuevo

            Saludos

            • Cerrado

              [Editado 18/01/03 14:57]

              Según el manual tendrías que añadir una línea: #filter IP:…

              Según el manual tendrías que añadir una línea:
              #filter
              IP:
              999 DENY;

              eso deniega todo el tráfico (previamente has los accept correspondientes, por ej. si tienes el burro o similares, tendrías que hacer:

              #filter
              IP:
              1 ACCEPT TCP-DST-PORT=4662;

              999 DENY;



              Si el 4662 lo tienes redireccionado a una máquina con pat, el accept deja que pase todo el tráfico, siempre y cuando se lo asignes a la conexión y al trafico entrante.

              Yo con el 999 deny me he encontrado muchos problemas, como no poder navegar bien, no recibir tráfico y cosas de ese tipo.
              Otra cosa es que filtres rangos de puertos, a me me da buen resultado, mejor que el 999 deny

              Ah y otra, el router solo soporta 10 condiciones, o 10 filtros, a partir de ahí no funcionan de forma aleatória, es lo que yo me he encontrado.

              Espero que te sea de ayuda.

              Ah y yo suelo asignarlo a la vc, no al interfaz, por si acaso, aunque es cuestión de gustos no?