Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
60 lecturas y 1 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Desesperacion con los filtros

    Decir que me lei los temas que hablan sobre esto en el foro pero es que no soy capaz y necesito que alguien me eche una mano. Estoy intentando configurar el ss5660 para que solo pueda entrar via web desde una ip publica especifica de internet. Abri el puerto 80 y tengo los siguientes filtros:

    1 in permit (ip publica desde la que me conecto) 255.255.255.255 (ip publica del router) 255.255.255.255 tcp any equal to 80

    2 in deny any any tcp equal to 80

    3 in permit any any all

    Probe con distintos firmwares (en concreto los dos ultimos) y nada. En napt servers me pone:

    tcp 80/http self

    con lo cual entiendo que eso esta bien pero el caso es que solo me deja conectarme si quito el filtro 2 y en ese caso entra cualquiera.
    Hay que activar algo mas?, algo del filtro esta mal?. Los filtros los hice a traves de la aplicacion web.

    Muchas gracias

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Perdona por no traducirla yo pero estoy un poco flojo hoy. IP…

      Perdona por no traducirla yo pero estoy un poco flojo hoy.

      IP Filtering
      The router supports creation of packet filters that regulate the sending of IP packets across the WAN (DSL) port. Packet filters analyze the headers of each packet sent or received and evaluate it against the filter rules to see if it is forwarded on to its destination address or discarded.

      IP filtering is disabled by default, but it can be enabled through the user interface. In the absence of any rules or if the packet under consideration does not match any rules, the default rule is that inbound packets are denied and outbound packets are permitted.

      IP filtering is performed before NAPT processing occurs on outbound packets and after un-NAPT processing occurs on inbound packets. The effect of this is that IP filter rules should always be constructed to operate on the real IP addresses/ports rather than the IP address that NAPT presents to the WAN.

      Up to 64 rules can be defined by the user. This command allows the creation of one rule at a time. To create a new rule, follow the step-wise procedure on the page:

      STEP 1: Rule Number Enter an integer value 1-999. Rules are applied in order by rule number: the lower rule numbers have higher precedence. You should number rules starting with a high number (such as 100) and skip some numbers between each rule. This allows new rules to be added before existing rules.
      Direction Direction of packet traffic (in or out)
      Mode Either permit or deny the packet
      Source IP Address Compare packet with source address contained in packet.
      Source IP Mask The number of bits (0-32) are extracted from the IP address in the packet.
      The resulting value is compared with the Source IP Mask:
      0 = match any IP address
      16 = look at only the network no. of a Class B address
      24 = look at only the network no. of a Class C address
      32 = look at entire address
      Destination IP Address Compare packet with destination address contained in packet.
      Destination IP Mask Destination netmask, see description above.

      STEP 2: Protocol Transport protocol is one of the following:
      All or an integer protocol number
      TCP
      UDP [src lt|gt|eq ] [dst lt|gt|eq ]
      ICMP
      GRE

      STEP 3: Fill in these values only if UDP or TCP were selected. Source Port Operator Operation to perform, less than, greater than or equal to
      Source Port Number Compare source TCP port with this value
      Destination Port Operator Operation to perform, less than, greater than or equal to
      Destination Port Number Compare destination TCP port with this value
      Apply rule only to TCP connections that are already established This checkbox only applies to TCP. When checked, it indicates the packet should be tested to see if it is for an established TCP network connection. If this key work is specified, packets being sent to start a new TCP connection would not match this rule.

      STEP 4: Select the desired checkboxes in this step only if ICMP was selected.
      These checkboxes choose the desired comparisons with the ICMP message type in the packet.

      Traducido por una machina:

      El IP que filtra la rebajadora apoya la creación de los filtros del paquete que regulan enviar de los paquetes del IP a través del puerto WAN (DSL). Los filtros del paquete analizan los jefes de cada paquete enviado o recibido y los evalúan contra las reglas del filtro para ver si se remiten encendido a su dirección de destinación o se desechan. La filtración del IP es inhabilitada por el defecto, pero puede ser permitida a través del interfaz utilizador. En ausencia de cualquier regla o si el paquete bajo consideración no empareja ninguna reglas, la regla del defecto es que los paquetes de entrada están negados y los paquetes de salida están permitidos. Se realiza la filtración del IP antes de que el proceso de NAPT ocurra en los paquetes de salida y después de que el proceso un-NAPT-NAPT ocurre en los paquetes de entrada. El efecto de esto es que las reglas del filtro del IP se deben construir siempre para funcionar encendido el IP verdadero addresses/ports más bien que el IP ADDRESS que NAPT presenta al WAN. Hasta 64 reglas se pueden definir por el usuario. Este comando permite la creación de una regla a la vez. Para crear una nueva regla, siga el procedimiento step-wise en la página:

      PASO 1: El número de la regla incorpora un valor 1-999 del número entero. Las reglas son aplicadas en orden por número de la regla: los números más bajos de la regla tienen precedencia más alta. Usted debe numerar reglas comenzando con un alto número (tal como 100) y saltar algunos números entre cada regla. Esto permite que las nuevas reglas sean agregadas antes de reglas existentes. La dirección de la dirección del permiso del modo del tráfico del paquete (en o hacia fuera) u o niega el IP ADDRESS de la fuente del paquete compara el paquete con la dirección de la fuente contenida en paquete. La máscara del IP de la fuente el número de los pedacitos (0-32) se extrae del IP ADDRESS en el paquete. El valor que resulta se compara con la máscara del IP de la fuente:
      0 = fósforo cualquier IP ADDRESS
      16 = mirada en solamente la red No. de una dirección 24 de la clase
      B = mirada en solamente la red No. de una dirección 32 de la clase
      C = mirada en el IP ADDRESS entero de la destinación de la dirección compara el paquete con la dirección de destinación contenida en paquete. El netmask de la destinación de la máscara del IP de la destinación, considera la descripción arriba.

      PASO 2: El protocolo del transporte del protocolo es uno del siguiente: Todos o un UDP del TCP del número del protocolo del número entero [ teniente del src|gt|eq ] [ teniente del dst|gt|PASO 3 del ICMP GRE del eq ]: Complete estos valores solamente si el UDP o los TCP fue seleccionado. La operación portuaria del operador de la fuente a realizarse, menos que, mayor que o el igual al número de acceso de la fuente comparan el puerto del TCP de la fuente con esta operación del operador del puerto de la destinación del valor para realizarse, menos que, mayor que o el igual al número de acceso de la destinación compara el puerto del TCP de la destinación con este valor aplica regla solamente a las conexiones del TCP que ya se establecen este checkbox se aplican solamente al TCP. Cuando está comprobado, indica que el paquete se deba probar para ver si está para una conexión de red establecida del TCP. Si se especifica este trabajo dominante, los paquetes que son enviados para comenzar una nueva conexión del TCP no emparejarían esta regla.

      PASO 4: Seleccione los checkboxes deseados en este paso solamente si el ICMP fue seleccionado. Estos checkboxes eligen las comparaciones deseadas con el mensaje del ICMP mecanografían adentro el paquete.

      "Excuses are tools of the incompetent, and those who specialize in them seldom go far."