Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
80 lecturas y 9 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Filtros en el router

    Hola a todos,

    Estoy intentando configurar mi router para ponerle un firewall mediante filtros, pero no se porque no termina de funcianar.

    Tengo como default workstation mi pc donde corre un servidor web y ftp, y no tengo ningun filtro configurado por el momento.

    Cuando intento configurar los filtros, no se porque no me deja navegar, las configuraciones que he probado son las de denegar acceso desde internet al router a los puertos mayores que el 1 menos el 80 (una de las que probe), tb probe denegar todas las mayores que el 80 y tampoco podia navegar (siempre TCP).

    Otra cosa que no entiendo porque hay una opcion de denegar o otro de permitir, porque por mi experiencia si pones una de denegar y otra de permitir con algun puerto en comun, la de denegar tiene preferencia sobre la otra.

    Lo cierto es que estoy un poco liado, si alguien me puede explicar bien bien como funcionan los filtros y como configurarlos para poder navegar y ejecutar un par de programas mas (emule y winmx de los cuales ya se los puertos) se lo agradeceria mucho.

    Otra cuestion es el tema de NAT, he leido muchos post, y para acceder a un servicio determinado dicen que la solucion es direccionar el paquete que llega al puerto del router a la ip de ordenador donde corre el servicio, pero... y si el servicio corre en varios ordenadores de la red? Esta configuracion tambien es valida?¿??

    Muchas gracias.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      En el caso de que dos pc's usen el mismo puerto, teniendo el…

      En el caso de que dos pc's usen el mismo puerto, teniendo el modem en multipuesto, en vez de hacer PAT, podria agregar un filtro accept para dejar pasar los paquetes que van a ese puerto?

      En teoria tendria que funcionar, no?

      • Cerrado

        [Editado 2/01/03 14:50]

        a ver... te pongo un ej. tu quieres filtrar desde el puerto…

        a ver... te pongo un ej. tu quieres filtrar desde el puerto 1024 para abajo ok? pero quieres que haya acceso a un servidor FTP que hay en un pc de tu red, ok? pues bien, la solución sería esta:

        #filter

        IP:

        1 ACCEPT TCP-DST-PORT=21;

        2 REJECT TCP-DST-PORT(menor que)1024; no se pq pero no me coge el simbolo
        Yo en alguna ocasión me he encontrado problemas, cuando tengo algun servicio correindo en un puerto que no le corresponde, ej: http en el 8080 en el lado wan y en el lado wan 80 y haciendo un accept tcp-dst-port=8080 me solucionaba el marrón, pero el tener 2 maquinas en el mismo puerto, con un filtro... no haces nada, o pasa o no pasa, pero no reparte.

        • Cerrado

          BocaDePez BocaDePez
          6

          Y no seria lo mismo bloquear todos los puertos menores que el…

          Y no seria lo mismo bloquear todos los puertos menores que el 1024 menos el que es igual a 80 con la operacion AND?

          De todos modos lo he probado de las 2 formas y no hay manera, supongo que de algun modo debo cerrar algun puerto necesario para la navegacion.

          Respecto a lo de que dos pc's usen el eMule al mismo tiempo (por ejemplo), yo pienso que con un filtro que dejara pasar los paquetes por determinados puertos seria suficiente, no? Se supone que el router sabe interpretar para quien va dirigido el paquete con su tabla ARP, porque sino, como seria posible la navegacion (puerto 80) con 2 pc's al mismo tiempo?

          No lo se, soy nuevo en esto, pero pienso que seria suficiente. Dame tu opinión o tu experiencia personal, te lo agradeceria mucho.

          Un Saludo y gracias.

          • Cerrado

            [Editado 3/01/03 14:45]

            que el router hace que??? sisi... claro... verás... conectate…

            que el router hace que??? sisi... claro... verás... conectate por ej. a bandaancha con los 2 pcs y haz un netstat -a verás que los 2 pcs están conectados a la ip de bandaancha y que el puerto de destino es el 80 pero el puerto local de la máquina??? pues variable, por encima del 1024 y cada uno hará peticiones diferentes a través de un puerto local, el router toma dichos puertos y quien ha hecho la petición, para hacer nat, modificando los paquetes que se envían, que luego vuelve a modificar cuando los recibe para que le lleguen a cada destinatario.
            De todas formas para conexiones entrantes, no es igual, la idea es la misma, pero... por ej, la máquina x de nosequien para conectarse a tu máquina a través del puerto 80, funciona todo igual, su puerto remoto es el 80 y local será uno de usuario, su ip destino será tu ip, pero... lo primero, el router no te deja redireccionar el mismo puerto a 2 ips, el router no sabría mandar el paquete a cual de las 2 máquinas. Como anotación, los filtros, filtran paquetes, que cumplan o no cumplan una serie de reglas... es decir... mayor del puerto tal, menor, si proceden de una ip, si tiene un formato determinado que tú le das... etc... pero hace que el paquete que pase o no pase pero no puedes decir... pasa a esta máquina o a esta otra.

            No se si me he explicado muy bien. Pero bueno.

            • Cerrado

              BocaDePez BocaDePez
              6
              Osea, el router trabaja para navegar con el puerto 80, pero…

              Osea, el router trabaja para navegar con el puerto 80, pero si hay varios pc's conectados al mismo tiempo, el propio router va asignando diferentes puertos para cada pc, y de esa forma pueden navegar todos ellos al mismo tiempo, siempre con puertos diferentes.

              La pregunta ahora seria, y si eso lo hace el router el solito con el puerto 80 por ejemplo, no seria posible que lo hicera tambien con otro puerto (por ejemplo los que usa el emule)?

              Si no fuera asi, la solucion seria configurar cada emule con un puerto diferente al del resto de los pc's que usan emule en la red, cierto?

              Sobre lo del filtro de aceptacion de paquetes, mi pregunta seria, en el caso de aceptar los paquetes de los puertos del eMule, esos paquetes a donde van si no son redirigidos por NAT? Se quedan en el router o el router hace broadcast con ellos por la red hasta que encuentran su destinatario?

              Muchas gracias por tus respuestas, ahora veo las cosas un poco mas claras.

              • Cerrado

                Osea, el router trabaja para navegar con el puerto 80, pero…

                Osea, el router trabaja para navegar con el puerto 80, pero si hay varios pc's conectados al mismo tiempo, el propio router va asignando diferentes puertos para cada pc, y de esa forma pueden navegar todos ellos al mismo tiempo, siempre con puertos diferentes.

                A ver... por ej, tu te conectas a la ip 195.100.100.100 a una web ok? pues tu pc usa el puerto local 1500 por ej, y el puerto destino, al que hace la petición es el 80, si a través de web te conectas también a la 200.100.100.200 a ver otra pagina, pues tu ordenador hará una petición pues a través del siguiente puerto local disponible que tenga... pero por ej. tienes otra máquina con otra ip, y conecta con la 195.100.100.100 pero ella lo hace a través del primer puerto que tenga igual disponible, por ej. el 1028, y a la otra ip la 195.100.100.100 a través del 1042 por ej... y siempre como puerto de destino el 80.

                Si tu por ejemplo tienes un servidor web en una maquina, el funcionamiento es exáctamente el mismo, solo que el puerto local que tu máquina usa para servir es el 80 y los puertos de las máquinas remotas que conectan con tu servidor son los que varían.

                Lo que no puede hacer el 3com, es que tu tengas 2 servidores web corriendo en el puerto 80, cada uno con una ip, al hacer pat, el router sólo puede mandar las peticiones que a él le llegan a 1 sóla ip, no a 2. si quieres tener otro, pues deberías de usar otro puerto, ej el 81 del lado wan y redirigirlo al 80 (si no quieres cambiar el puerto 80 del otro servidor) pero todos los que conecten deberían de usar http://mipagina.com:81 por ej. para poder ver tu otro server.

                La pregunta ahora seria, y si eso lo hace el router el solito con el puerto 80 por ejemplo, no seria posible que lo hicera tambien con otro puerto (por ejemplo los que usa el emule)?

                Si no fuera asi, la solucion seria configurar cada emule con un puerto diferente al del resto de los pc's que usan emule en la red, cierto?


                A ver, para la descarga de cosas, el emule funciona como si hiciera de servidor, por eso hay que hacer pat con algúno de los puertos que usan, generalmente el 4662, no? se supone que si el emule te deja configurar otro puerto 4663 para otra máquina y funciona, o le puedes decir que reciba el tráfico por ese puerto, pues no debería de haber problema. Es más, he leido que funciona tb usando el default workstation para la 2ª máquina, no lo he probado, pero es posible.

                Sobre lo del filtro de aceptacion de paquetes, mi pregunta seria, en el caso de aceptar los paquetes de los puertos del eMule, esos paquetes a donde van si no son redirigidos por NAT? Se quedan en el router o el router hace broadcast con ellos por la red hasta que encuentran su destinatario?

                Pues a ver, supon... tu has hecho pat en el puerto del emule 4662, y el emule no está funcionando, como no hay un servidor corriendo para conectar, no hay servicio a través de ese puerto, pues no habría conexión, es decir, se devolvería un paquete de que no es posible conectar a través del puerto solicitado. Prueba a poner http://ipdetumaquina:4520 si no hay servidor web corriendo en ese puerto te sale un error no?? pues igual.

                • Cerrado

                  BocaDePez BocaDePez
                  6
                  El tema de los puertos me ha quedado claro, muchas gracias…

                  El tema de los puertos me ha quedado claro, muchas gracias por tus respuestas.

                  Lo que te preguntaba de los filtros era, sin ir mas lejos, si sirve de algo configurar un filtro que permita pasar determinados paquetes si no esta configurado en la tabla de NAT (o PAT), en definitiva que pasa si configuro un filtro para dejar pasar todo el trabajo del puerto x, pero el puerto x no esta en la tabla NAT?

                  Se hace broadcast con ese paquete a todas las maquinas hasta que encuentra una que se queda el paquete?

                  Muchas gracias de antemano, tus respuestas me han sido de mucha ayuda.

                  • Cerrado

                    [Editado 4/01/03 16:49]

                    que yo sepa no se hace broadcast, un filtro es o pasa un…

                    que yo sepa no se hace broadcast, un filtro es o pasa un paquete o no pasa (dependiendo de las reglas del filtro).

                    Por ej:
                    Tu tienes un filtro que acepta todos los paquetes que llegan al puerto 80, ok? pero no has hecho pat para el puerto 80, es decir, no has redireccionado el puerto a ninguna máquina.

                    Entonces, si alguien de internet intenta conectar a través del puerto 80 (doy por supuesto que el servidor web del router no está funcionando o que está en otro puerto que no es el 80) entonces llegará el paquete al router, pero el router no puede hacer nada con el, pero que yo sepa no hace un broadcast, si no hay un servicio corriendo detrás no pede conectar, así que si no me equivoco y si no recuerdo mal, devolverá un paquete que diga que el paquete no se ha entregado (siempre que sea tcp).

    • Cerrado

      filtros, mi experiencia, es un máximo de 10 filtros. debes…

      filtros, mi experiencia, es un máximo de 10 filtros.
      debes primero poner los accept (los que dejas pasar) y después los de denegar paso, es decir, los discard.

      PAT, que yo sepa sólo puedes hacer port address translation a una máquina por dirección, es decir, que si tienes varias máquinas y necesitas usar el mismo puerto, deberás usar otro puerto externo, ej: 80 para la ip 192.168.0.200 y el 81 para la ip 192.168.0.201 por ej.