Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
49 lecturas y 18 respuestas
  • Cerrado

    [Editado 2/02/06 12:47]

    filtrado puertos -No se filtran, son otros problemas con Kad

    Hola, escribo a pesar de tener una certeza casi absoluta para contrastar opiniones. El caso es que este puerto es el que usa Kademlia por defecto ( no, no voy a hacer una pregunta sobre configurar el emule o algo similar, lo menciono porque es por lo que me he dado cuenta, y la única razón que pueden tener para filtrarlo) y está cerrado. Sé que no es mi ordenador, y sé que no es el router. Lo sé por esto:

    en mi ordenador:

    # Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
    *nat
    :PREROUTING ACCEPT [339046:20004212]
    :POSTROUTING ACCEPT [201870:12494843]
    :OUTPUT ACCEPT [201870:12494843]
    COMMIT
    # Completed on Thu Feb 2 00:52:43 2006
    # Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
    *mangle
    :PREROUTING ACCEPT [13156777:5232151774]
    :INPUT ACCEPT [13156777:5232151774]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [10845930:16849736199]
    :POSTROUTING ACCEPT [10845993:16849737459]
    COMMIT
    # Completed on Thu Feb 2 00:52:43 2006
    # Generated by iptables-save v1.3.4 on Thu Feb 2 00:52:43 2006
    *filter
    :INPUT ACCEPT [13155988:5232084673]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [10845887:16849733831]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -i eth1 -p tcp -m multiport --dports 8005,64901,8009,8080,111,6000,6010,21,20,2401 -j DROP
    -A INPUT -i eth1 -p udp -m udp --dport 1:1023 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 5 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 10 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 13 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 14 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 15 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 16 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 17 -j DROP
    -A INPUT -i eth1 -p icmp -m icmp --icmp-type 18 -j DROP
    -A INPUT -i eth1 -p tcp -m tcp --dport 2401 -j DROP
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 5 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 11 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 10 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 13 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 14 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 15 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 16 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 17 -j DROP
    -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 18 -j DROP
    COMMIT
    # Completed on Thu Feb 2 00:52:43 2006

    No hay que saber de que va, se ve claramente qué significa cada regla. Por defecto se acepta todo y hay algunas reglas especificando lo que se descarta. Para udp solo hay una línea, que supone descartar todo lo que vaya a los puertos 1 a 1023. En el router no se hace ninguna clase de filtrado, y todos los puertos, tanto tcp como udp, van redirigidos a mi ordenador. No obstante, tengo siempre id baja en kad, que protesta por estar detras de un firewall.

    Buscando, he encontrado esto:

    http://www.adslzone.net/postlite20022-puerto.html

    donde, aparte de cosas que tienen que ver con el emule y no interesan, se comenta:
    "
    rombi escribió:
    A mi me da muchos problemas el emule con las 20 megas y es por culpa de las IP que nos dan,resulta que todas por el motivo que sea estan metidas en los ip filter.dat de los servidores y cada vez que te conectas a uno te banea.
    Saludos

    Ahora que lo dices me suena. El otro dia me conecte a un Server y me decia que mi ip estaba dentro del rango de ip filtradas.
    "

    y ese mismo mensaje me aparece a mi. ¿Alguien tiene sospechas fundadas sobre filtrado de puertos, o ha experimentado este problema? ¿ O puede que no tenga que ver con jazztel y es eso que comentan en otro foro?

    He tenido que editar para quitar los smileys y cambiar el titulo.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Añado esto al final porque después de todo el texto de arriba…

      Añado esto al final porque después de todo el texto de arriba empieza a ser un poco pesado buscar el último post. Tengo ethereal listo... Pero no lo he usado jamás, así que una breve explicación sobre como evitar que me genere un informe con tráfico tcp y otras cosas que no interesen no estaría de más. Ya tengo seleccionada la interfaz eth1 y eso...

      • Cerrado

        6

        eh, pues si lo tienes ya.. :P solo tienes que seleccionar…

        eh, pues si lo tienes ya.. :P

        solo tienes que seleccionar Capture Options, seleccionas eth1, Capture packets in promiscuous mode deberá estar activado ya.. activa update list of packets in real time para mayor comodidad, y automatic scrolling in live capture

        o sea, así:
        http://www.lukealc.jazztel.es/eth.gif

        mientras tienes la captura andando, selecciona la ventana principal del ethereal y donde pone filter, pon udp y dale al enter.

        quedará así
        http://www.lukealc.jazztel.es/eth2.gif

        y ese es el trafico udp que está recibiendo la tarjeta de red :P en mi captura es tráfico de kad.

        • Cerrado

          Bueno, hay tráfico udp, así que, misterios de la vida, parece…

          Bueno, hay tráfico udp, así que, misterios de la vida, parece ser que nada impide que lleguen y sólo me queda pensar que tiene que ver con la red ed2k.

          Ahora sigo pensando en lo que Luke dijo sobre el 1720 tcp que no debería estar filtrado, aunque dudo que tenga que ver con jazztel porque no tiene nada que ver con los p2p.

          • Cerrado

            BocaDePez BocaDePez
            6
            soy luke seguramente sea cosa de los modulos ip_nat_h323 e…

            soy luke

            seguramente sea cosa de los modulos ip_nat_h323 e ip_conntrack_h323... son modulos que lleva el router para "ayudar" a ciertos tipos de conexiones, por ejemplo pueden servir para que al detectar una sesion DCC de irc automaticamente funcione sin abrir puertos porque el router identifica el tráfico. Se pueden quitar con el comando "rmmod" pero al reiniciar el router se vuelven a activar.

    • Cerrado

      [Editado 2/02/06 01:54]

      6

      Que yo sepa, el udp solo peta con PPPoA. Con PPPoE funciona…

      Que yo sepa, el udp solo peta con PPPoA. Con PPPoE funciona bien.

      Tienes ethereal? te puedo escanear con nmap en modo udp y así ves si te llegan los paquetes.

      edito: solo tienes ese pc en la red? por qué no usas el router en bridge y un cliente pppoe para tener la ip publica en el pc directamente?
      edito 2: como haces la redireccion de puertos? yo la revisaría, el puerto 1720 tcp me da como filtered y me debería dar closed (no está como -j DROP)

      • Cerrado

        [Editado 2/02/06 02:29]

        Veo que no se puede poner un mensaje privado en este foro ..…

        Veo que no se puede poner un mensaje privado en este foro ..

        Verás, en la interfaz web del router a la izquierda hay un menu, ahi le doy a security, virtual servers, y añado los puertos, el protocolo y la IP destino. Me gustaría insertar una imagen, pero en fin. Si te sirve, en el router los comandos que se originan con estas acciones (si, es cierto, redirigo un par de puertos a otro ordenador):

        1st day 00:03:15 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.2 --dport 4803:65530 -j ACCEPT
        1st day 00:03:15 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 4803:65530 -j DNAT --to 192.168.1.2
        1st day 00:03:15 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.2 --dport 4803:65530 -j ACCEPT
        1st day 00:03:15 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 4803:65530 -j DNAT --to 192.168.1.2
        1st day 00:02:19 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.4 --dport 4800:4802 -j ACCEPT
        1st day 00:02:19 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 4800:4802 -j DNAT --to 192.168.1.4
        1st day 00:02:19 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.4 --dport 4800:4802 -j ACCEPT
        1st day 00:02:18 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 4800:4802 -j DNAT --to 192.168.1.4
        1st day 00:01:49 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p udp -d 192.168.1.2 --dport 1:4799 -j ACCEPT
        1st day 00:01:49 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p udp --dport 1:4799 -j DNAT --to 192.168.1.2
        1st day 00:01:49 user debug syslog: iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.2 --dport 1:4799 -j ACCEPT
        1st day 00:01:49 user debug syslog: iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 1:4799 -j DNAT --to 192.168.1.2

        ¡Espero que lo entiendas mejor que yo!

      • Cerrado

        [Editado 2/02/06 01:56]

        Uso pppoe, si era una pregunta. No tengo ethereal, a ver…

        Uso pppoe, si era una pregunta. No tengo ethereal, a ver cuanto tardo en compilarlo, pero pondre un post con mi IP en ese momento y jugamos a eso :D me parece más comodo que arrancar un servidor tftp que además no he configurado y no se si alguno de mis amigos tendrá siquiera un cliente.

        No, no tengo ese pc sólo en la red, simplemente no voy a tener ningún servicio accesible desde el exterior en el otro, y, en cualquier caso, no tengo ningún problema con tcp y no debería con udp.

        Por cierto, olvidé mencionarlo: aún sigo con el robotics... A veces me pregunto si no tendrá algo que ver y funciona mal.

        EDITO: obviamente, como es tarde y esto puede tomarse su tiempo para compilarse, no espero que estes pendiente. Lo instalo y en otro momento se hace el escáner.

          • Cerrado

            [Editado 2/02/06 02:20]

            Has escrito mientras respondia. Sí, es ese. > iptables -L -n…

            Has escrito mientras respondia. Sí, es ese.

            > iptables -L -n --verbose
            Chain INPUT (policy ACCEPT 5466 packets, 1055K bytes)
            pkts bytes target prot opt in out source destination
            392 64393 ACCEPT all -- ppp33 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
            0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1863:1864
            0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4443
            0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5566
            0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:40000:40099
            0 0 LOG tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 limit: avg 6/hour burst 5 tcp flags:0x16/0x02 LOG flags 0 level 1 prefix `Intrusion -> '
            44 3095 DROP all -- ppp33 * 0.0.0.0/0 0.0.0.0/0

            Chain FORWARD (policy ACCEPT 192K packets, 168M bytes)
            pkts bytes target prot opt in out source destination
            556 97256 ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.2 udp dpts:4803:65530
            95307 27M ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.2 tcp dpts:4803:65530
            0 0 ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.4 udp dpts:4800:4802
            0 0 ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.4 tcp dpts:4800:4802
            15086 795K ACCEPT udp -- ppp33 * 0.0.0.0/0 192.168.1.2 udp dpts:1:4799
            29682 5113K ACCEPT tcp -- ppp33 * 0.0.0.0/0 192.168.1.2 tcp dpts:1:4799
            3397 199K TCPMSS tcp -- * ppp33 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
            0 0 TCPMSS tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
            317 21223 ACCEPT all -- ppp33 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
            0 0 LOG tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 limit: avg 6/hour burst 5 tcp flags:0x16/0x02 LOG flags 0 level 1 prefix `Intrusion -> '
            0 0 DROP all -- ppp33 * 0.0.0.0/0 0.0.0.0/0

            Chain OUTPUT (policy ACCEPT 5957 packets, 1617K bytes)
            pkts bytes target prot opt in out source destination
            0 0 DROP all -- * ppp33 0.0.0.0/0 239.255.255.250
            >

            > iptables -L -n --verbose -t nat
            Chain PREROUTING (policy ACCEPT 7119 packets, 425K bytes)
            pkts bytes target prot opt in out source destination
            0 0 DNAT udp -- br0 * 0.0.0.0/0 192.168.1.1 udp dpt:53 to:87.216.1.65
            0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190 redir ports 5190
            5 292 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 redir ports 1863
            7069 298K DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:4799 to:192.168.1.2
            9178 292K DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1:4799 to:192.168.1.2
            0 0 DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:4800:4802 to:192.168.1.4
            0 0 DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:4800:4802 to:192.168.1.4
            976 40697 DNAT tcp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:4803:65530 to:192.168.1.2
            165 5324 DNAT udp -- ppp33 * 0.0.0.0/0 0.0.0.0/0 udp dpts:4803:65530 to:192.168.1.2

            Chain POSTROUTING (policy ACCEPT 17390 packets, 636K bytes)
            pkts bytes target prot opt in out source destination
            6926 409K MASQUERADE all -- * ppp33 192.168.1.0/24 0.0.0.0/0

            Chain OUTPUT (policy ACCEPT 6 packets, 578 bytes)
            pkts bytes target prot opt in out source destination
            >

            ¿Te puedo preguntar cuándo y por qué conociste iptables? Jamás se me habría ocurrido intentar más que un iptables -L y mis reglas son casi copiadas de una revista. Solo me pregunto por qué se lo estudia alguien ( trabajo, ocio ...).

            • Cerrado

              [Editado 2/02/06 02:29]

              6
              es muy muy parecido al comtrend. Los puertos están bien…

              es muy muy parecido al comtrend. Los puertos están bien abiertos (no veo conflictos raros), y según ese log de iptables (con verbose te saca el contador) los paquetes UDP también están siendo forwardeados a 192.168.1.2... pone que unos 9000 paquetes udp han sido forwardeados desde que está la conexión activa.

              me voy a dormir, cuando tengas el ethereal me das un toque a mi mail del perfil y contesto cuando pueda (mañana estare algo ocupado hasta las 6pm mas o menos)

              un saludo

              edito: respecto a cómo conocí iptables, pues descubrí cómo mirar las reglas del comtrend y me dieron ganas de "mejorarlas"... a partir de ahí me puse a leer algo de documentación para enterarme cómo van pasando los paquetes por las tablas y las chains... y bueno, yo que sé, no es tan dificil :P supongo que soy algo maniatico y necesito saber qué pasa con los paquetes, qué se deja pasar y qué no :P

              tampoco soy experto ni nada.. solo he aprendido a medio leer las reglas y tal. Hay algunos scripts por ahí que dan miedo de complejidad y lo que hacen. Estudio teleco pero estoy en 1º así que no tiene nada que ver, en 1º no nos enseñan estas cosas :D

              • Cerrado

                Ok, gracias. Mañana por la tarde ya daré el coñazo por aquí…

                Ok, gracias. Mañana por la tarde ya daré el coñazo por aquí otro rato. Trasteando con esto parece que tráfico UDP llega, pero ya lo discutiremos mañana.

                ¡Buenas noches y gracias!

    • Cerrado

      No acabo de entender tu post, pero una cosa es que filtren un…

      No acabo de entender tu post, pero una cosa es que filtren un puerto y otra cosa diferente que hayan metido tu ip en el ipfilter.dat, que simplemente filtra ips gubernamentales, de empresas y demás para evitar que te molesten las discográficas con gilipoyeces

      • Cerrado

        ¡Ya se que son dos cosas diferentes! precisamente por eso…

        ¡Ya se que son dos cosas diferentes! precisamente por eso pregunto sobre las dos. Tengo un problema, planteo dos posibilidades y por qué he pensado en ellas.

        Si más gente cree que no se entiende lo editaré.

        • Cerrado

          Ah vale, no creo que esten filtrando ningun puerto, pero…

          Ah vale, no creo que esten filtrando ningun puerto, pero vamos es bastante facil de comprobar: abre un server tftp en ese puerto y mira a ver si desde fuera tienen acceso a el, asi sales de dudas.

          Y si metieron el rango de jazztel 20 megas en el ipfilter.dat habria que hablar con los que lo hacen porque es una gran cagada, de todas formas tambien se puede comprobar viendo el archivo en cuestión a ver si está o no está :-P