ADSL

filtrado puertos -No se filtran, son otros problemas con Kad

dryadcito 2 febrero 2006 01:09 ✎

⋮

Hola, escribo a pesar de tener una certeza casi absoluta para contrastar opiniones. El caso es que este puerto es el que usa Kademlia por defecto ( no, no voy a hacer una pregunta sobre configurar el emule o algo similar, lo menciono porque es por lo que me he dado cuenta, y la única razón que pueden tener para filtrarlo) y está cerrado. Sé que no es mi ordenador, y sé que no es el router. Lo sé por esto:

en mi ordenador:

# Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
*nat
:PREROUTING ACCEPT [339046:20004212]
:POSTROUTING ACCEPT [201870:12494843]
:OUTPUT ACCEPT [201870:12494843]
COMMIT
# Completed on Thu Feb 2 00:52:43 2006
# Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
*mangle
:PREROUTING ACCEPT [13156777:5232151774]
:INPUT ACCEPT [13156777:5232151774]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10845930:16849736199]
:POSTROUTING ACCEPT [10845993:16849737459]
COMMIT
# Completed on Thu Feb 2 00:52:43 2006
# Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
*filter
:INPUT ACCEPT [13155988:5232084673]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10845887:16849733831]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 8005,64901,8009,8080,111,6000,6010,21,20,2401 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 1:1023 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 5 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 10 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 14 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 15 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 16 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 17 -j DROP
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 18 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 2401 -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 5 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 11 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 10 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 13 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 14 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 15 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 16 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 17 -j DROP
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 18 -j DROP
COMMIT
# Completed on Thu Feb 2 00:52:43 2006

No hay que saber de que va, se ve claramente qué significa cada regla. Por defecto se acepta todo y hay algunas reglas especificando lo que se descarta. Para udp solo hay una línea, que supone descartar todo lo que vaya a los puertos 1 a 1023. En el router no se hace ninguna clase de filtrado, y todos los puertos, tanto tcp como udp, van redirigidos a mi ordenador. No obstante, tengo siempre id baja en kad, que protesta por estar detras de un firewall.

Buscando, he encontrado esto:

http://www.adslzone.net/postlite20022-puerto.html

donde, aparte de cosas que tienen que ver con el emule y no interesan, se comenta:
"
rombi escribió:
A mi me da muchos problemas el emule con las 20 megas y es por culpa de las IP que nos dan,resulta que todas por el motivo que sea estan metidas en los ip filter.dat de los servidores y cada vez que te conectas a uno te banea.
Saludos

Ahora que lo dices me suena. El otro dia me conecte a un Server y me decia que mi ip estaba dentro del rango de ip filtradas.
"

y ese mismo mensaje me aparece a mi. ¿Alguien tiene sospechas fundadas sobre filtrado de puertos, o ha experimentado este problema? ¿ O puede que no tenga que ver con jazztel y es eso que comentan en otro foro?

He tenido que editar para quitar los smileys y cambiar el titulo.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

raposu 2 febrero 2006 01:18

⋮

No acabo de entender tu post, pero una cosa es que filtren un puerto y otra cosa diferente que hayan metido tu ip en el ipfilter.dat, que simplemente filtra ips gubernamentales, de empresas y demás para evitar que te molesten las discográficas con gilipoyeces

✖

dryadcito 2 febrero 2006 01:21

⋮

¡Ya se que son dos cosas diferentes! precisamente por eso pregunto sobre las dos. Tengo un problema, planteo dos posibilidades y por qué he pensado en ellas.

Si más gente cree que no se entiende lo editaré.

✖

raposu 2 febrero 2006 01:27

⋮

Ah vale, no creo que esten filtrando ningun puerto, pero vamos es bastante facil de comprobar: abre un server tftp en ese puerto y mira a ver si desde fuera tienen acceso a el, asi sales de dudas.

Y si metieron el rango de jazztel 20 megas en el ipfilter.dat habria que hablar con los que lo hacen porque es una gran cagada, de todas formas tambien se puede comprobar viendo el archivo en cuestión a ver si está o no está :-P

Luke 2 febrero 2006 01:31 ✎

⋮

Que yo sepa, el udp solo peta con PPPoA. Con PPPoE funciona bien.

Tienes ethereal? te puedo escanear con nmap en modo udp y así ves si te llegan los paquetes.

edito: solo tienes ese pc en la red? por qué no usas el router en bridge y un cliente pppoe para tener la ip publica en el pc directamente?
edito 2: como haces la redireccion de puertos? yo la revisaría, el puerto 1720 tcp me da como filtered y me debería dar closed (no está como -j DROP)

✖

dryadcito 2 febrero 2006 01:53 ✎

⋮

Uso pppoe, si era una pregunta. No tengo ethereal, a ver cuanto tardo en compilarlo, pero pondre un post con mi IP en ese momento y jugamos a eso :D me parece más comodo que arrancar un servidor tftp que además no he configurado y no se si alguno de mis amigos tendrá siquiera un cliente.

No, no tengo ese pc sólo en la red, simplemente no voy a tener ningún servicio accesible desde el exterior en el otro, y, en cualquier caso, no tengo ningún problema con tcp y no debería con udp.

Por cierto, olvidé mencionarlo: aún sigo con el robotics... A veces me pregunto si no tendrá algo que ver y funciona mal.

EDITO: obviamente, como es tarde y esto puede tomarse su tiempo para compilarse, no espero que estes pendiente. Lo instalo y en otro momento se hace el escáner.

✖

Luke 2 febrero 2006 02:07

⋮

qué usr es? 9105 puede ser? (buscador powa) por si podemos echarle un vistazo a las reglas iptables :P

iptables -L -n --verbose
iptables -L -n --verbose -t nat

✖

dryadcito 2 febrero 2006 02:18 ✎

⋮

Has escrito mientras respondia. Sí, es ese.

> iptables -L -n --verbose
Chain INPUT (policy ACCEPT 5466 packets, 1055K bytes)
pkts bytes target prot opt in out source destination
392 64393 ACCEPT all -- ppp33 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1863:1864
0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4443
0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5566
0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:40000:40099
0 0 LOG tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 limit: avg 6/hour burst 5 tcp flags:0x16/0x02 LOG flags 0 level 1 prefix `Intrusion -> '
44 3095 DROP all -- ppp33 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 192K packets, 168M bytes)
pkts bytes target prot opt in out source destination
556 97256 ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.2 udp dpts:4803:65530
95307 27M ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.2 tcp dpts:4803:65530
0 0 ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.4 udp dpts:4800:4802
0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.4 tcp dpts:4800:4802
15086 795K ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.2 udp dpts:1:4799
29682 5113K ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.2 tcp dpts:1:4799
3397 199K TCPMSS tcp -- * ppp33 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 TCPMSS tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
317 21223 ACCEPT all -- ppp33 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 limit: avg 6/hour burst 5 tcp flags:0x16/0x02 LOG flags 0 level 1 prefix `Intrusion -> '
0 0 DROP all -- ppp33 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 5957 packets, 1617K bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * ppp33 0.0.0.0/0 239.255.255.250
>

> iptables -L -n --verbose -t nat
Chain PREROUTING (policy ACCEPT 7119 packets, 425K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT udp -- br0 * 0.0.0.0/0 192.168.1.1 udp dpt:53 to:87.216.1.65
0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190 redir ports 5190
5 292 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 redir ports 1863
7069 298K DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:4799 to:192.168.1.2
9178 292K DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1:4799 to:192.168.1.2
0 0 DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:4800:4802 to:192.168.1.4
0 0 DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:4800:4802 to:192.168.1.4
976 40697 DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:4803:65530 to:192.168.1.2
165 5324 DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:4803:65530 to:192.168.1.2

Chain POSTROUTING (policy ACCEPT 17390 packets, 636K bytes)
pkts bytes target prot opt in out source destination
6926 409K MASQUERADE all -- * ppp33 192.168.1.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6 packets, 578 bytes)
pkts bytes target prot opt in out source destination
>

¿Te puedo preguntar cuándo y por qué conociste iptables? Jamás se me habría ocurrido intentar más que un iptables -L y mis reglas son casi copiadas de una revista. Solo me pregunto por qué se lo estudia alguien ( trabajo, ocio ...).

✖

Luke 2 febrero 2006 02:25 ✎

⋮

✖

dryadcito 2 febrero 2006 02:28

⋮

Comtrend536 2 febrero 2006 11:52

⋮

¿Tienes el fichero final compilado ya?

Lo podrías colgar aquí :-?

✖

Luke 2 febrero 2006 11:54

⋮

pero tú no usas windows?

ethereal.com/distribution/win32/

✖

Comtrend536 8 febrero 2006 17:33

⋮

dryadcito 2 febrero 2006 12:35

⋮

Si usas linux sería mejor para ti usar el gestor de paquetes de tu distribución, y si usas win, lo que te han puesto justo arriba.

dryadcito 2 febrero 2006 02:16 ✎

⋮

Veo que no se puede poner un mensaje privado en este foro ..

Verás, en la interfaz web del router a la izquierda hay un menu, ahi le doy a security, virtual servers, y añado los puertos, el protocolo y la IP destino. Me gustaría insertar una imagen, pero en fin. Si te sirve, en el router los comandos que se originan con estas acciones (si, es cierto, redirigo un par de puertos a otro ordenador):

1st day 00:03:15 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.2 --dport 4803:65530 -j ACCEPT
1st day 00:03:15 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 4803:65530 -j DNAT --to 192.168.1.2
1st day 00:03:15 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.2 --dport 4803:65530 -j ACCEPT
1st day 00:03:15 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 4803:65530 -j DNAT --to 192.168.1.2
1st day 00:02:19 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.4 --dport 4800:4802 -j ACCEPT
1st day 00:02:19 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 4800:4802 -j DNAT --to 192.168.1.4
1st day 00:02:19 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.4 --dport 4800:4802 -j ACCEPT
1st day 00:02:18 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 4800:4802 -j DNAT --to 192.168.1.4
1st day 00:01:49 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.2 --dport 1:4799 -j ACCEPT
1st day 00:01:49 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 1:4799 -j DNAT --to 192.168.1.2
1st day 00:01:49 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.2 --dport 1:4799 -j ACCEPT
1st day 00:01:49 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 1:4799 -j DNAT --to 192.168.1.2

¡Espero que lo entiendas mejor que yo!

dryadcito 2 febrero 2006 02:27

⋮

Añado esto al final porque después de todo el texto de arriba empieza a ser un poco pesado buscar el último post. Tengo ethereal listo... Pero no lo he usado jamás, así que una breve explicación sobre como evitar que me genere un informe con tráfico tcp y otras cosas que no interesen no estaría de más. Ya tengo seleccionada la interfaz eth1 y eso...

✖

Luke 2 febrero 2006 02:34

⋮

eh, pues si lo tienes ya.. :P

solo tienes que seleccionar Capture Options, seleccionas eth1, Capture packets in promiscuous mode deberá estar activado ya.. activa update list of packets in real time para mayor comodidad, y automatic scrolling in live capture

o sea, así:
(link roto)

mientras tienes la captura andando, selecciona la ventana principal del ethereal y donde pone filter, pon udp y dale al enter.

quedará así
(link roto)

y ese es el trafico udp que está recibiendo la tarjeta de red :P en mi captura es tráfico de kad.

✖

dryadcito 2 febrero 2006 12:46

⋮

Bueno, hay tráfico udp, así que, misterios de la vida, parece ser que nada impide que lleguen y sólo me queda pensar que tiene que ver con la red ed2k.

Ahora sigo pensando en lo que Luke dijo sobre el 1720 tcp que no debería estar filtrado, aunque dudo que tenga que ver con jazztel porque no tiene nada que ver con los p2p.

✖

BocaDePez 2 febrero 2006 14:05

⋮

soy luke

seguramente sea cosa de los modulos ip_nat_h323 e ip_conntrack_h323... son modulos que lleva el router para "ayudar" a ciertos tipos de conexiones, por ejemplo pueden servir para que al detectar una sesion DCC de irc automaticamente funcione sin abrir puertos porque el router identifica el tráfico. Se pueden quitar con el comando "rmmod" pero al reiniciar el router se vuelven a activar.