ADSL/VDSL

Filtros: pregunta difícil

sardaukar 19 agosto 2003 13:15

⋮

Llevo ya un tiempo jugando con los filtros y he decidido cambiar totalmente el enfoque: en lugar de denegar el acceso a ciertos puertos desde el exterior he pensado que sería mejor permitir el aceso sólo a ciertos puertos (tengo servidores activos) y denegar cualquier otra cosa.

El problema es que no permite navegar si uso una línea del tipo 999 DENY; como última línea. La pregunta es si es posible permitir conexiones entrantes que sean consecuencia de conexiones iniciadas desde mi propio ordenador (p. ej. navegar) para ponerlo como penúltima línea del filtro y así poder usar la famosa última línea 999 DENY

Espero haberme explicado correctamente. Saludos.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

JoeDalton 22 agosto 2003 00:57

⋮

sencillo, con el 999 deny deniegas todo el tráfico de entrada, es decir, tu usas los puertos del 1024 como puertos de usuario para realizar conexiones. Al poner esa línea, deniegas todo ese tráfico también, ej:

navegación web:
puerto usuario: 1024
puerto destino: 80
ip destino: 80.33.33.33

pues tu haces una petición a la ip 80.33.33.33 a través de tu puerto 1024, llega al destino, y el destino devuelve a tu puerto de usuario, es decir, el 1024, como tu tienes el 999 deny, el router, no deja entrar ese tráfico (tu lo estás filtrando porque es tráfico que recibes de una forma o de otra).

El router no distingue entre que la petición la hayas hecho tú o no la hayas hecho para que deje pasar o no deje pasar, esa sentencia elimina todo el tráfico que tu previamente no hayas dejado pasar.

Saludos.

✖

tesnico 8 septiembre 2003 14:38

⋮

... estoy leyendo mucho 8-).

Pero no me aclaro.

Si lo único que podemos hacer es denegar el tráfico que viene del exterior, sin poder distinguir cual solicitamos nosotros desde nuestra LAN (por ejemplo para navegar), no podemos cerrar todos los puertos y luego abrir los que nos interesen, porque no sabemos de que puerto nos va a venir la respuesta. Y por otro lado, no podemos discriminar los paquetes que hemos solicitado, de los posibles "ataques", que puedan llegar a esos puertos. ¿O sí?

Si creeis que la solución está en un post anterior, o en una paginilla, indicadmela por favor, que me piro de vacaciones el viernes, y quería dejar este tema solucionado.

Gracias.

✖

JoeDalton 8 septiembre 2003 14:51

⋮

Uf sigo tu duda a medias... a ver... el 3com es como una caja tonta o deja pasar tráfico o no deja pasarlo, es binario o 0 o 1, y de ahí no tienes más...

El problema es el siguiente, tu cuando navegas, utilizas puertos de usuario aleatorios, que van del 1024 en adelante, y para cada conexión que estableces tu puerto va siendo diferente, con lo que no puedes definir qué puerto usar... y que pasa?? si tu pruebas a cerrar a partir del puerto 1024 en adelante (de entrada de tráfico) lo que sucede es que se cae la conexión, no navegas, directamente. con lo que esos puertos no puedes cerrarlos, es decir, porque el router, luego recibes ese tráfico a través de ahí, para eso se supone que está nat, que es quien da esa seguridad.
tu cuando envias trafico, lo envias a través de un puerto y lo recibes a través de ese mismo puerto, pero no es un puerto estático, a no ser que pongas un proxy, es decir, si tu te configuras un proxy en tu lan en el puerto 8080, puedes denegar todo el trafico que salga de la ethernet hacia internet que no salga por ese puerto, pero al proxy, de entrada de internet le tienes que dejar abiertos del 1024 en adelante, porque sino no podría navegar... ya que si tu por ej, filtras del puerto 1024 en adelante, si, tu peticion hacia internet sale, pero cuando vuelve hay un filtro y dice... "uffff puerto 1024, está en mi lista de no admitidos, y hay que rechazar tráfico" con lo que la petición nunca llega de vuelta. Es igual que algunas ips de internet tienen filtrado el tráfico icmp, pues pasa exáctamente lo mismo, la máquina está online, pero tu con un ping no puedes corroborar que funciona.

No se si te he aclarado algo.

Saludos.

✖

tesnico 11 septiembre 2003 19:50

⋮

Has confirmado lo que no tenía muy claro, pero no me das una solución.

Se supone entonces que el NAT, no permite entrar ningún tráfico no solicitado?.

Mi problema es que tenemos mapeado el puerto del terminal server (ahora no recuerdo cual es), y me gustaría filtrar las IPs entrantes a las que se puede servir.

Será mejor hacer eso en el W2k3 Server o en el router?

Si la opción es la del router... HOWTO 8-)

Gracias.

✖

Risky 12 septiembre 2003 14:30

⋮

JoeDalton 15 septiembre 2003 20:54

⋮

✖

BocaDePez 30 septiembre 2003 00:56

⋮

✖

BocaDePez 5 octubre 2003 13:24

⋮

✖

JoeDalton 29 octubre 2003 20:36

⋮

✖

tesnico 7 noviembre 2003 13:33

⋮

✖

JoeDalton 13 noviembre 2003 09:16

⋮

✖

tesnico 14 noviembre 2003 12:07

⋮

✖

JoeDalton 14 noviembre 2003 21:36

⋮

✖

tesnico 15 noviembre 2003 04:51

⋮

✖

JoeDalton 15 noviembre 2003 12:01

⋮

guillerminoart 28 octubre 2003 15:21 ✎

⋮

Hola a todos

Lo que yo tengo configurado en mi router, entre otras cosas es lo siguiente

#filter
IP
1 reject tcp-dst-port
Esto deniega todas las conexiones tcp procedentes de la DMZ hacia cualquiera de los puertos inferiores a 1024. Por tanto no tendreis problemas con el navegador.

Saludos

No se que pasa, pero el navegador o lo que sea, no me deja escribir detrás de tcp-dst-port el signo <1024, que es lo que yo quiero poner. ¿¿?????

dmachin 7 noviembre 2003 15:25

⋮

Para conseguir lo que quieres puedes usar esta regla:
8 AND protocol=TCP;
9 REJECT GENERIC=>origin = DATA/offset = 13/length = 1/mask = 0x12/value = 0x02;

Lo que hace es rechazar los intentos de conexión, con lo cual cualquiera que intente conectarse contigo no podrá, sin embargo sí que te permitirá realizar a tí conexiones y mandar y recibir datos por ellas.

Si, como dices, tienes servidores (pongamos por ejemplo hhtp y ftp), puedes hacer:

1 ACCEPT TCP-DST-PORT=80;
2 ACCEPT TCP-DST-PORT=21;
3 AND protocol=TCP;
4 REJECT GENERIC=>origin = DATA/offset = 13/length = 1/mask = 0x12/value = 0x02;

(SIN PONER EL DENY)

De esa forma podrás lanzar tú todas las conexiones que quieras desde cualquier puerto pero sólo podrán conectarse a tí en los puertos 80 (http) y 21 (ftp).

Esto es mucho más limpio que dejar abiertos los puertos >1024, porque eso permitiría que un troyano se instalase en uno de esos puertos y ni te enterarías.

Espero haber ayudado.

Saludos

✖

tesnico 7 noviembre 2003 16:54

⋮

... quisieras que a los puertos 80 y 21, solo pudiesen acceder unas ips determinadas?

✖

dmachin 7 noviembre 2003 17:20

⋮

Fácil:
1 AND SRC-ADDR=xxx.xxx.xxx.xxx;
2 ACCEPT TCP-DST-PORT=80;
3 AND SRC-ADDR=xxx.xxx.xxx.xxx;
4 ACCEPT TCP-DST-PORT=21;
5 AND protocol=TCP;
6 REJECT GENERIC=>origin = DATA/offset = 13/length = 1/mask = 0x12/value = 0x02;

Si es un rango (no una ip determinada), tendrías que hacer SRC-ADDR=xxx.xxx.xxx.xxx/nn (si no entiendes esto y lo necesitas pregúntalo)

Saludos

✖

tesnico 12 noviembre 2003 13:56

⋮

Dos cosas más.

1ª.- Si quisiera que dos IPS (de distinto rango), accedieran, sería así?

1 AND SRC-ADDR=xxx.xxx.xxx.xxx;
2 AND SRC-ADDR=yyy.yyy.yyy.yyy;
3 ACCEPT TCP-DST-PORT=80;

[...]

2ª.- Indícame, por favor, alguna dirección o que tengo que buscar para ver la sintaxis de estos filtros, y no tener que dar tanto la brasa 8-).

Un saludo.

✖

dmachin 12 noviembre 2003 15:31

⋮

✖

tesnico 14 noviembre 2003 12:14

⋮

JoeDalton 15 noviembre 2003 12:04

⋮

✖

tesnico 15 noviembre 2003 17:25

⋮

✖

JoeDalton 15 noviembre 2003 17:58

⋮