BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL/VDSL

los filtros y el 23

1
astracan

A ver, que yo me estoy volviendo también mayor, como Dalton... ;-)
Nos ponemos en situación: Amigo con router 3Com 812, firmware 1.1.7, filtros de la timo quitados, usuario adminttd también quitado.
Instalado nuevo usuario, filtrados los puertos 23 y 80.
Con un simple escaneo de puertos, aparecen visibles precisamente el 23 y el 80 ¿¿¿¿¿¿??????
Me aseguro de que están filtrados ENTRANDO POR TELNET ¡¡¡¡¡¡!!!!!!!! y viendo el filter que tiene donde aparecen el 23 y el 80 filtrados. ¿Cómo puede ser eso?
El que yo pueda escanear esos puertos como abiertos y el que pueda entrarle por telnet, que está filtrado.
¿Tal vez es que hay PRIMERO que abrir el puerto que se va a filtrar?.

Otra cosa. Una vez que se instala un client tftp, por ejemplo mi IP en el router de este amigo, ¿cómo bajo archivos o los subo? Yo sé hacerlo desde MI MS_DOS a MI router, con la IP LOCAL, pero desde mi máquina al router de este amigo ¿cómo es?
Es decir, pongo desde ventana del DOS: tftp IP-ROUTER-MIO put archivo.flt, por ejemplo.
Pero si pongo desde DOS para remoto, para otro router, es decir tftp IP-ROUTER-REMOTO-AMIGO put archiv.flt, pues no sale nada, se queda como colgado el DOS.
¿Cuál es el comando?. ¿Hay que dar algún puerto determinado?.
Entre otras cosas veo que tiene un cliente tftp instalado, que imagino sea telefónica....y quiero saber cómo haría para bajar o subir archivos la timo.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Chucky69

Actualiza el firmware en la page de 3com
El filtro ponlo (por web es más facil configurar) para los que entran de sitios remotos (o el predeterminado q te ponen llamado "internet") con esto desde fuera no pueden acceder a tu router pero desde dentro de la lan si.

🗨️ 3
astracan

chuki, que no me he explicado o no me has entendido bien.
Cuento la versión del firmware para que sepáis qué es lo que tiene. Cuento con actualizarle el firmware, más que todo porque cuadno yo lo tenía el 1.1.7 probé a explotar el bug que tenía y era fácil de coj...., así que hay que cambiar.

Lo que me interesa es que CON UN FILTRO COMO UNA CASA EN EL 23, que lo he comprobado que lo tiene, SE PUEDE ENTRAR por telnet igual que si no tuviese ningún filtro, hablo de vía remoto, claro, no por LAN.

Que xk pasa eso, que no lo entiendo.

Y que cuando entro a escanear puertos, aparecen visibles precisamente esos, los que hemos filtrado, el 23 y el 80.

Y que además cómo puedo mandar archivos desde remoto vía tftp, que debo de poner algo mal en los comandos y no consigo mandar nada.

🗨️ 2
Chucky69

quiza en el filtro en vez de poner "drop" o como sea en el 812 (denegar), hayas puesto "forward" (dejar pasar). O has puesto el filtro en el lugar no adecuado (quiza no lo hayas puesto de inet a tu router)

Chucky69

ostia tio, el mensaje que habia puesto antes era de otra conversación que decia que tenia la version anterior de firmware... SORRY!

BocaDePez

Para hacer invisibles esos puertos, lo que tienes que hacer es desactivar los servicios http y telnet. Pero sólo puedes hacerlo si puedes conectarte al router por el CLI vía puerto de consola, ya que si no, perderías el acceso al router :-), en caso de que los desactives (que es lo mejor), te aconsejo que desactives también el password de consola (si tienes alguno) para evitar posibles problemas de acceso, si la olvidas o el router se vuelve loco... (cosa que me ha pasado).

Saludos

🗨️ 4
astracan

Si cierro los servicios http y telnet, me quedo aislao, no????Sin contacto con la internet, o entiendo mal lo que dices. Hombre la idea de la ADSL era navegar, si tengo que cerrar a cal y canto, me compro un TAN TAN y listo,
:-P :-P

Bromas aparte, que imagino que no lo he entendido, me puedes decir cómo hacer eso por consola? Yo sé poner filtros por consola, y por web, y por telnet y para de contar.
Como hago eso que dices?

en cuanto a la contraseña de consola, si no me la ha pedido nunca, se supone que no está activa, no?. Quiero decir, me pide lo normalito: user y password, pero el del router y punto.
Leí un hilo sobre desoldar la pata de no sé qué y volcar la no sé cuantos que me puso las crines de punta...no quiero ni tocar ná de eso.

:-o

🗨️ 3
BocaDePez

Los servicios http y tenet, son los servicios de administración remota del router, si los desactivas sólo podrás administrar el router por el CLI, accediendo con un programa como hyperterrminal, si tienes conectado el ordenador por el puerto de consola al router.

En cuanto a lo del password, existen dos como si dijéramos... uno para acceder al router por el CLI (password de consola) y otro que corresponde a un usario creado para acceder remotamente por http o telnet. Telefónica pone por ejemplo el mismo pasword para ambos accesos, y el usuario igual también, el famoso adminttd.

Entonces, si cuando entras por el CLI, no te pide password sino te sale directamente:

3com-dsl>

no tienes el password activo, también puedes hacer un

>show command

y comprobarlo en "Console login required".

Si lo tienes activo y lo quieres desactivar en la versión 1.1.7 tienes que poner:

>set command login_required no
>save all

Una vez que te asegures, de que tienes claro que vas a poder acceder por el CLI con password o sin ella, ya puedes desactivar el acceso remoto.

>show security_option (para ver el estado actual)
>disable security_option snmp user_access (snmp presenta serios problemas de seguridad)
>disable security_option remote_user administration (no se podrá conectar con el servidor telnet)
>list services (para consultar el estado de los servicios y sus nombres)
>disable network service telnetd (o el nombre que tenga) (no tendrás acceso por telnet al router)
>disable network service httpd (o el nombre que tenga) (no se podrá acceder al router por el administrador web)
>save all (para guardar)

Te aconsejo también que chequees el estado de "Intelligent_nat_option" (esta opción está presente en la versión 1.1.7, en las siguientes existen otras como intelligent_pat), está por defecto activada, e implica que cuando llega tráfico entrante que el router no sabe a quien dirigir, no lo bloquea, lo dirige de forma predeterminada a una dirección interna, con lo que ese equipo si no tiene un firewall instalado es totalmente vulnerable, a menos que seas consciente de lo que esta opción hace y tengas un firewall instalado en tus equipos, te aconsejo que la deshabilites). Desactivándola puede que algunos programas no te funcionen bien, sin mapear algún puerto o que tengas que activarla de vez en cuando, a mi me pasa con Frontpage cuando subo algo a un FTP.

>show vc internet settings (para ver el estado)
>disable vc internet (deshabilita vc internet mientras haces las modificaciones)
>set vc internet intelligent_nat_option disable
>enable vc internet
>save all

Espero haber aclarado algo más.

Saludos

🗨️ 2
JoeDalton

desactivar los servicios httpd y telnetd es una opción, pero... si necesitas administrar un router remotamente... que??? está claro, pero con un filtro haces lo mismo filtras ips y puertos para administración remota, juegas con la ventaja de usar las posibilidades del filtrado y la administracion remota, si necesitas ver un log del router o algo... si te tienes que desplazar a conectarte por consola... es ya una full.

astracan

No era exactamente eso lo que yo quería. El post de Dalton, algo más abajo, era la respuesta a mis poblemas.

De todas maneras me ha venido muy bien el poder desactivar en mi router lo de Intelligent PAT, que lo tenía activo. Y me guardo el post por si algún día me da la venada y lo hago, eso de cerrar toas las puertas del router. Por ahora, prima más la vagancia...lo de hacerlo vía http o vía telnet es más comodo que andar con la consola, que me dejo los ojos y ya estoy mayor.
:-D :-D

Otra cosa, xk es tan peligroso eso del SNMP?. Puedes ampliarmelo un pokillo?

Gracias por todo.

JoeDalton

Aquí el agüelo :P :P a ver... pues mirando un poco tu caso, me he puesto a hacer las comprobaciones pertinentes en el mío... y fisjatetu tenía un bujero como el de tu colega, el caso es que el otro día estuve trasteando cambiando ips, y demás, y mi problema debe de venir de ahí, no me quiero mareear mucho con la historia, pero bueno.

Posibilidades:

Yo lo que creo que el dichoso filtro no está activo (me juego el cuello), compruebalo haciendo, desde el cli:

show filters, para ver los filtros activos.

yo luego buscaría los filtros a ver a qué están asociados, con un:

show vc nombre de tu vc

o si acaso está asociado a un interface:

show interface atm:1 settings

Si en el listado, no sale como input filter na de na, en ninguno, o sale en un output filter, quiere decir, que está mal puesto.

Otra cosa que suele pasar mucho, es: tu te creas un filtro desde web, 80...23 ... xxx... etc... y luego llegas grabas cambios, y ves que el protect files and printers no está activado, y lo activas... :o que pacha?? el fichero INRSinternet.FLT te lo machaca y sólo aparecen los filtros para netbios.

Yo lo que creo que el filtro o no está bien hecho o no está bien asignado, soluciones: borrate todos los filtros desde el cli, y vuelvelos a generar. Y sino, borra toda la configuración del router y metela a mano, y luego pones los filtros (hay veces que a mi se me ha quedado un rato tostado, por motivos desconocidos).

Pero el tema de los filtros funciona con cualquier firmware yo he tenido marrones a la hora de visualizar los filtros creados por web con condiciones and con versiones a partir de la 1.9, pero luego funcionaban bien, debía de ser un bug o algo así del firm, pero si el filtro está bien asignado funciona.

Otro tema es lo del tftp, si tu das de alta una ip, la tuya pública, en el router de otro, o está la 0.0.0.0 en la lista puedes usar tftp desde cualquier ip, y sería con el procedimiento de toda la vida: el command y :
tftp ip_publica get archivo
esto es la teoría, luego si hay por ahí algo que te filtre el puerto 69 pues ya sabes, estás j*dido.

🗨️ 6
astracan

Pos llevabas razón, agüelo Dalton. :-D
He mirado el tema de los filtros y a pesar de verlos bien, y de estar input, el asunto lo atribuyo a la casilla de "protect files and printers" de la interface del router que aparece vía http. Igual es que sí, que esos filtros al 139,143 etc... anulan todos los demás cuando lo haces al final. Compruebo que otro colega también tiene el mismo bujerillo. Tal vez sería cuestión de sacar una FAQ explicando el tema para que nadie se llame a error, creyendo que tiene los puertos filtrados y no los tiene.
Total, que he borrau toito todo. Total que he vuelto a crear los filtros filtrantes y parece que ya los filtros se ven como filtros.
Gracias, abuelo Dalton. La experiencia tuya, asociada a la edad, en este caso han sido determinantes.
;-) :-P :-D

🗨️ 5
JoeDalton

Los filtros en el 3com no dejan de ser un marrón mu gordo, dan bastantes problemas, además no soporta más de 10 filtros, no puedes asociar varios archivos de filtros a una misma vc (los sobreescribe, aunque parece que no) y no dan demasiado juego.

Otra solución para la configuración http/telnet sin usar filtro es con la creación de un access-list, no he tenido tiempo de probarlo, pero todo se andará...

Por cierto, probaste a bajarte archivos por tftp?

🗨️ 4
astracan

Y si pruebo con: tftp IP_publica_colega get archivo_bajar

me dice: "tftp: no se puede leer el archivo local archivo_bajar

Si pruebo con : tftp IP_publica_colega put archivo_subir

me dice:tftp: no se puede escribir en el archivo local archivo_subir

:-( :-?

🗨️ 3
JoeDalton
JoeDalton
🗨️ 2
astracan
astracan
🗨️ 1
JoeDalton
JoeDalton