BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL/VDSL

¿Como cerrar puertos 23 telnet y 80 http?

Corvax

Soy un iniciado en la administracion de redes en cuanto a seguridad. Tengo la siguiente duda, por favor:

En una red local, conectada directamente a un router 3com con adsl, es decir, no hay un equipo dedicado a dar la conexion a internet, sino que accedemos a traves del router,
como puedo cerrar el puerto 23 y el 80, ya que me aparecen abiertos en varios test de algunas paginas web de escaneo de puertos.

Tengo panda antivirus platinum 7 en cada uno de los equipos de la red, el cual trae un firewall, pero tampoco se como configurarlo para cerrar dichos puertos.

Gracias de antemano.....

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

Eso de iniciado, es un rango supeior.

HERBERT

1º Al boca de pez: Tu por lo que se ve tampoco debes de ser muy entendido por que en vez de criticar, da una solucion.

Q mas da q sea iniciado,novato, super hacker de la leche en redes...el caso es resolverle la duda q para eso esta este weblog.

2º Respondiendote a la duda...mejor que explicartelo (llevo prisa :P ) mira esta web.

Animo.

Un saludo.HERBERT.

Tatolino

Lo más directo para crear el filtro que pretendes, es abrir una sesión CLI desde un programa de terminal y aplicar estos comandos:

3Com-DSL>capture text_file [nombre_filtro]
#filter
IP:
1 reject tcp-dst-port=23;
2 reject tcp-dst-port=80;
[Crtl] + [d]
3Com-DSL>add filter [nombre_filtro]
3Com-DSL>set interface atm:1 input_filter [nombre_filtro]
3Com-DSL>save all

Comandos donde:
[nombre_filtro] debe ser sustituido por un nombre de archivo de tu elección para denominar el filtro.
La primera línea de comando, seguida de un [ENTER]:
3Com-DSL>capture text_file [nombre_filtro]
nos permite escribir libremente las "condiciones" o "rules" del filtro.
[Crtl] + [d] Significa una secuencia de tecleo: mantener pulsada la tecla control y, a continuación, pulsar la tecla correspondiente a la letra d. Con esto se envía el archivo, una vez escrito, a la memoria flash del módem/router.
Con los comandos finales, se añade el filtro, se asocia a la interfaz ATM y, por último, se salva.

Saludos

P.D.:
Puedes aplicar estos mismos comandos desde una sesión de TELNET, si lo haces desde dentro de tu propia LAN.
De esta forma, te evitarías tener que conectar el típico cable serie entre el puerto de consola del módem/router y el ordenador.
Para hacerlo de esta forma, ya sabes (desde Windows):
Inicio/Programas/Accesorios/Símbolo de sistema y luego:
c:\>telnet [ip_lan_router]
[ENTER]
login: ******
Password: *******
3Com-DSL>

🗨️ 8
Gackt

Una preguntilla, he hecho eso k has dixo,pero si luego voy
a la seccion de filtros, no me sale ninguno, i si intento acceder a mi ruterportelnet con la direccion publica medeja...:?i es curioso px si miro via telnet si tengoalgun filtro, me aparece este k habia creadopero si miro via web no aparece...

🗨️ 2
Tatolino

Hola Gackt

Los filtros creados tal como te he posteado (comandos CLI) y asignados al interfaz ATM no se muestran si entras en la configuración WEB del router pero están ahí, por supuesto y actúan.

Puedes ver el filtro o filtros que hayas creado por CLI aplicando el comando:
list filters

Si aplicas el comando:
show interface atm:1 settings

Podrás ver que el filtro que has creado está descrito con el correspondiente nombre de archivo que le hayas dado y figurará como filtro de entrada (Input Filter).

Respecto a lo de que puedes entrar en la configuración del router, supongo te refieres desde dentro de tu propia LAN, porque este filtro (el que te he posteado) lo que impide es la entrada a HTTP y TELNET desde la WAN (Internet) pero no desde la Intranet.

Saludos

🗨️ 1
Gackt

Muchas gracias por la aclaración ;-)

I en cuanto a lo de que podia acceder desde internet tenias razon ,era yo que estaba equivocado.
CLaro yo hacia el telnet a la ip publica i me lo hacia, pero claro era porque taba detras del router i no desde afuera.

Gracias de nuevo por la aclaracion.

Un saludo.

Glamdring

Donde pone IP:
Hay que poner la publica, la privada o ninguna?

🗨️ 4
Tatolino

Donde pone:
IP:
que supongo te refieres al texto del filtro, o sea lo que viene después de:
#filter

Pues eso, solo has de poner IP: "pelado", nada más porque las líneas:

#filter
IP:

constituyen la "cabecera" del filtro.
Dicho de otra manera, la línea #filter le indica al módem/router que el archivo en cuestión se trata de un filtro y la línea IP: le dice que se trata de un filtro para direcciones IP.
O sea que después del IP: NO TIENES QUE PONER NADA.

Saludos

🗨️ 3
waju

hola tatolino:

hago todo como me lo dices, pero al añadir el filtro, me sale:

3Com-DSL>add filter reject_23_80
At 02:07:10, Facility "Filter Manager Process", Level "INFORMATION":: FM: In fil
ter file reject_23_80, ambiguous first line
FM: In filter file reject_23_80, ambiguous first line
3Com-DSL>

y lo hago todo tal cual dices.. ¿se te ocurre algo?

muchas gracias

saludos

waju

🗨️ 2
JoeDalton
BocaDePez
BocaDePez

lo primero gracias por como explicais las cosas por que no he tenido ningun problema para hacer las coas como dices TATOLINO VERY GRACIAS al hacer eso del filtro que recomiendas que por eso lo he hecho al buscar archivos con el emule no me realiza ninguna creo que es debido al filtro ese porque un rato antes me realizo la busqueda sin problemas fue al configurar el moden 3com cuando empezo el tema. puede perder velociad de bajada el emule? de subida no pierde pero de bajada he notado ke ha perdido un poco como podria echar patras el filtro pa ver si es de eso gracias

🗨️ 1
Anchoa-de-B

Entiendo que puedes usar un filtro para rechazar los paquetes destinado a puerto 80. Pero si quieres hacer un forwarding a un servidor en tu LAN, como lo haces?

Desafortunadamente, tengo version 1.1.7 del firware. Pregunta adicional: si instalo version 2.5 (o asi) del firware, el 812 recordara toda la configuracion actual?

Gracias,
A de B

🗨️ 1
Tatolino

Si quieres redirigir el puerto TCP 80 hacia un puerto/ordenador de tu Intranet, tienes dos opciones para efectuarlo:

1. Mediante el interfaz web del router:
->Por WEB

2. Mediante comandos CLI desde una sesión TELNET o consola:
->Por CLI

Ahora bien, hay un problema… y es debido a que, normalmente, redirigimos el puerto 80 con motivo de tener un servidor WEB en nuestra LAN, pero el puerto 80 lo utiliza la interfaz WEB del router, es decir, el configurador WEB del router está “escuchando” en dicho puerto. Por ese motivo, cuando desde la WAN (Internet) queramos acceder a dicho puerto y escribamos la IP publica en nuestro navegador, nos saldra… LA PAGINA DE CONFIGURACION DEL ROUTER.
Para evitar este problema, una solución es “desviar” el puerto de escucha de la interfaz WEB del router a otro puerto distinto y esto lo lograremos aplicando la siguiente serie de comandos desde consola o TELNET:

disable network service httpd
set network service httpd socket 8080
enable network service httpd
save all

Con estos comandos cambiamos el puerto de escucha del router al 8080 y, por tanto, a partir de este momento, para tener acceso a la configuración WEB del router, tanto desde WAN como LAN, tendremos que poner la coletilla :8080:

http://IP_Pública:8080
http://IP_Privada_router:8080

Si, además, tenemos un filtro que bloquea el acceso por el puerto TCP 80 desde WAN, hemos de tener en cuenta que los filtros prevalecen sobre las redirecciones y, por tanto, si queremos que la redirección del puerto sea efectiva, tendremos que eliminar dicho filtro.
______________________________________________

El otro tema que preguntas (actualizar el firmware desde la versión 1.1.7 a la 2.1.5) es posible pero… no se conservan las redirecciones de puertos que tengas, por lo cual es mejor, antes de actualizar, borrar dichas redirecciones y volverlas a crear cuando se haya hecho la actualización.
Todo lo demás se conserva.

Saludos