Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
507 lecturas y 15 respuestas
  • Cerrado

    ¿Como cerrar puertos 23 telnet y 80 http?

    Soy un iniciado en la administracion de redes en cuanto a seguridad. Tengo la siguiente duda, por favor:

    En una red local, conectada directamente a un router 3com con adsl, es decir, no hay un equipo dedicado a dar la conexion a internet, sino que accedemos a traves del router,
    como puedo cerrar el puerto 23 y el 80, ya que me aparecen abiertos en varios test de algunas paginas web de escaneo de puertos.

    Tengo panda antivirus platinum 7 en cada uno de los equipos de la red, el cual trae un firewall, pero tampoco se como configurarlo para cerrar dichos puertos.

    Gracias de antemano.....

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Entiendo que puedes usar un filtro para rechazar los paquetes…

      Entiendo que puedes usar un filtro para rechazar los paquetes destinado a puerto 80. Pero si quieres hacer un forwarding a un servidor en tu LAN, como lo haces?

      Desafortunadamente, tengo version 1.1.7 del firware. Pregunta adicional: si instalo version 2.5 (o asi) del firware, el 812 recordara toda la configuracion actual?

      Gracias,
      A de B

      • Cerrado

        Si quieres redirigir el puerto TCP 80 hacia un…

        Si quieres redirigir el puerto TCP 80 hacia un puerto/ordenador de tu Intranet, tienes dos opciones para efectuarlo:

        1. Mediante el interfaz web del router:
        ->Por WEB

        2. Mediante comandos CLI desde una sesión TELNET o consola:
        ->Por CLI

        Ahora bien, hay un problema… y es debido a que, normalmente, redirigimos el puerto 80 con motivo de tener un servidor WEB en nuestra LAN, pero el puerto 80 lo utiliza la interfaz WEB del router, es decir, el configurador WEB del router está “escuchando” en dicho puerto. Por ese motivo, cuando desde la WAN (Internet) queramos acceder a dicho puerto y escribamos la IP publica en nuestro navegador, nos saldra… LA PAGINA DE CONFIGURACION DEL ROUTER.
        Para evitar este problema, una solución es “desviar” el puerto de escucha de la interfaz WEB del router a otro puerto distinto y esto lo lograremos aplicando la siguiente serie de comandos desde consola o TELNET:

        disable network service httpd
        set network service httpd socket 8080
        enable network service httpd
        save all

        Con estos comandos cambiamos el puerto de escucha del router al 8080 y, por tanto, a partir de este momento, para tener acceso a la configuración WEB del router, tanto desde WAN como LAN, tendremos que poner la coletilla :8080:

        http://IP_Pública:8080
        http://IP_Privada_router:8080

        Si, además, tenemos un filtro que bloquea el acceso por el puerto TCP 80 desde WAN, hemos de tener en cuenta que los filtros prevalecen sobre las redirecciones y, por tanto, si queremos que la redirección del puerto sea efectiva, tendremos que eliminar dicho filtro.
        ______________________________________________

        El otro tema que preguntas (actualizar el firmware desde la versión 1.1.7 a la 2.1.5) es posible pero… no se conservan las redirecciones de puertos que tengas, por lo cual es mejor, antes de actualizar, borrar dichas redirecciones y volverlas a crear cuando se haya hecho la actualización.
        Todo lo demás se conserva.

        Saludos

    • Cerrado

      BocaDePez BocaDePez
      6

      lo primero gracias por como explicais las cosas por que no he…

      lo primero gracias por como explicais las cosas por que no he tenido ningun problema para hacer las coas como dices TATOLINO VERY GRACIAS al hacer eso del filtro que recomiendas que por eso lo he hecho al buscar archivos con el emule no me realiza ninguna creo que es debido al filtro ese porque un rato antes me realizo la busqueda sin problemas fue al configurar el moden 3com cuando empezo el tema. puede perder velociad de bajada el emule? de subida no pierde pero de bajada he notado ke ha perdido un poco como podria echar patras el filtro pa ver si es de eso gracias

    • Cerrado

      [Editado 27/02/03 11:27]

      Lo más directo para crear el filtro que pretendes, es abrir…

      Lo más directo para crear el filtro que pretendes, es abrir una sesión CLI desde un programa de terminal y aplicar estos comandos:

      3Com-DSL>capture text_file [nombre_filtro]
      #filter
      IP:
      1 reject tcp-dst-port=23;
      2 reject tcp-dst-port=80;
      [Crtl] + [d]
      3Com-DSL>add filter [nombre_filtro]
      3Com-DSL>set interface atm:1 input_filter [nombre_filtro]
      3Com-DSL>save all

      Comandos donde:
      [nombre_filtro] debe ser sustituido por un nombre de archivo de tu elección para denominar el filtro.
      La primera línea de comando, seguida de un [ENTER]:
      3Com-DSL>capture text_file [nombre_filtro]
      nos permite escribir libremente las "condiciones" o "rules" del filtro.
      [Crtl] + [d] Significa una secuencia de tecleo: mantener pulsada la tecla control y, a continuación, pulsar la tecla correspondiente a la letra d. Con esto se envía el archivo, una vez escrito, a la memoria flash del módem/router.
      Con los comandos finales, se añade el filtro, se asocia a la interfaz ATM y, por último, se salva.

      Saludos

      P.D.:
      Puedes aplicar estos mismos comandos desde una sesión de TELNET, si lo haces desde dentro de tu propia LAN.
      De esta forma, te evitarías tener que conectar el típico cable serie entre el puerto de consola del módem/router y el ordenador.
      Para hacerlo de esta forma, ya sabes (desde Windows):
      Inicio/Programas/Accesorios/Símbolo de sistema y luego:
      c:\>telnet [ip_lan_router]
      [ENTER]
      login: ******
      Password: *******
      3Com-DSL>

        • Cerrado

          [Editado 9/04/03 06:42]

          Donde pone: IP: que supongo te refieres al texto del filtro,…

          Donde pone:
          IP:
          que supongo te refieres al texto del filtro, o sea lo que viene después de:
          #filter

          Pues eso, solo has de poner IP: "pelado", nada más porque las líneas:

          #filter
          IP:

          constituyen la "cabecera" del filtro.
          Dicho de otra manera, la línea #filter le indica al módem/router que el archivo en cuestión se trata de un filtro y la línea IP: le dice que se trata de un filtro para direcciones IP.
          O sea que después del IP: NO TIENES QUE PONER NADA.

          Saludos

          • Cerrado

            6
            hola tatolino: hago todo como me lo dices, pero al añadir el…

            hola tatolino:

            hago todo como me lo dices, pero al añadir el filtro, me sale:

            3Com-DSL>add filter reject_23_80
            At 02:07:10, Facility "Filter Manager Process", Level "INFORMATION":: FM: In fil
            ter file reject_23_80, ambiguous first line
            FM: In filter file reject_23_80, ambiguous first line
            3Com-DSL>

            y lo hago todo tal cual dices.. ¿se te ocurre algo?

            muchas gracias

            saludos

            waju

            • Cerrado

              Lo más probable es que tu error sea debido a lo que comenta…

              Lo más probable es que tu error sea debido a lo que comenta Joe.

              De todas formas, puedes ver una explicación mucho más detallada sobre la creación de un filtro, en mi último post de este hilo, titulado Detalle creación filtro:

              http://www.bandaancha.st/foros.php?temid=134435

              En este post se explica como crear un filtro de nombre filtro.FLT que impida acceder al router desde Internet por los puertos TCP 23, TCP 80 y TCP 139.

              Si solo pretendes filtrar los puertos 23 y 80, deberías, simplemente, suprimir la línea:

              3 reject tcp-dst-port=139;#9733;

              También se explica en este hilo el porqué de la conveniencia de poner un nombre de filtro con extensión aunque, si no se le pone extensión, el filtro funciona igualmente.

              Espero que el citado enlace te aclare la cuestión.

              Saludos

            • Cerrado

              echa un ojo a lo que te dice el error: At 02:07:10, Facility…

              echa un ojo a lo que te dice el error:

              At 02:07:10, Facility "Filter Manager Process", Level "INFORMATION":: FM: In filter file reject_23_80, ambiguous first line

              Revisa la primera línea y comprueba que sea:

              #filter
              IP:

              De todas formas, a los filtros es conveniente ponerles la extension FLT

      • Cerrado

        Una preguntilla, he hecho eso k has dixo,pero si luego voy a…

        Una preguntilla, he hecho eso k has dixo,pero si luego voy
        a la seccion de filtros, no me sale ninguno, i si intento acceder a mi ruterportelnet con la direccion publica medeja...:?i es curioso px si miro via telnet si tengoalgun filtro, me aparece este k habia creadopero si miro via web no aparece...

        • Cerrado

          Hola Gackt Los filtros creados tal como te he posteado…

          Hola Gackt

          Los filtros creados tal como te he posteado (comandos CLI) y asignados al interfaz ATM no se muestran si entras en la configuración WEB del router pero están ahí, por supuesto y actúan.

          Puedes ver el filtro o filtros que hayas creado por CLI aplicando el comando:
          list filters

          Si aplicas el comando:
          show interface atm:1 settings

          Podrás ver que el filtro que has creado está descrito con el correspondiente nombre de archivo que le hayas dado y figurará como filtro de entrada (Input Filter).

          Respecto a lo de que puedes entrar en la configuración del router, supongo te refieres desde dentro de tu propia LAN, porque este filtro (el que te he posteado) lo que impide es la entrada a HTTP y TELNET desde la WAN (Internet) pero no desde la Intranet.

          Saludos

          • Cerrado

            Muchas gracias por la aclaración ;-) I en cuanto a lo de que…

            Muchas gracias por la aclaración ;-)

            I en cuanto a lo de que podia acceder desde internet tenias razon ,era yo que estaba equivocado.
            CLaro yo hacia el telnet a la ip publica i me lo hacia, pero claro era porque taba detras del router i no desde afuera.

            Gracias de nuevo por la aclaracion.

            Un saludo.

    • Cerrado

      [Editado 27/02/03 07:59]

      1º Al boca de pez: Tu por lo que se ve tampoco debes de ser…

      1º Al boca de pez: Tu por lo que se ve tampoco debes de ser muy entendido por que en vez de criticar, da una solucion.

      Q mas da q sea iniciado,novato, super hacker de la leche en redes...el caso es resolverle la duda q para eso esta este weblog.

      2º Respondiendote a la duda...mejor que explicartelo (llevo prisa :P ) mira esta web.

      Animo.

      Un saludo.HERBERT.