BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL/VDSL

Filtros en el router

1
BocaDePez

Hola a todos,

Estoy intentando configurar mi router para ponerle un firewall mediante filtros, pero no se porque no termina de funcianar.

Tengo como default workstation mi pc donde corre un servidor web y ftp, y no tengo ningun filtro configurado por el momento.

Cuando intento configurar los filtros, no se porque no me deja navegar, las configuraciones que he probado son las de denegar acceso desde internet al router a los puertos mayores que el 1 menos el 80 (una de las que probe), tb probe denegar todas las mayores que el 80 y tampoco podia navegar (siempre TCP).

Otra cosa que no entiendo porque hay una opcion de denegar o otro de permitir, porque por mi experiencia si pones una de denegar y otra de permitir con algun puerto en comun, la de denegar tiene preferencia sobre la otra.

Lo cierto es que estoy un poco liado, si alguien me puede explicar bien bien como funcionan los filtros y como configurarlos para poder navegar y ejecutar un par de programas mas (emule y winmx de los cuales ya se los puertos) se lo agradeceria mucho.

Otra cuestion es el tema de NAT, he leido muchos post, y para acceder a un servicio determinado dicen que la solucion es direccionar el paquete que llega al puerto del router a la ip de ordenador donde corre el servicio, pero... y si el servicio corre en varios ordenadores de la red? Esta configuracion tambien es valida?¿??

Muchas gracias.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
JoeDalton

filtros, mi experiencia, es un máximo de 10 filtros.
debes primero poner los accept (los que dejas pasar) y después los de denegar paso, es decir, los discard.

PAT, que yo sepa sólo puedes hacer port address translation a una máquina por dirección, es decir, que si tienes varias máquinas y necesitas usar el mismo puerto, deberás usar otro puerto externo, ej: 80 para la ip 192.168.0.200 y el 81 para la ip 192.168.0.201 por ej.

BocaDePez

En el caso de que dos pc's usen el mismo puerto, teniendo el modem en multipuesto, en vez de hacer PAT, podria agregar un filtro accept para dejar pasar los paquetes que van a ese puerto?

En teoria tendria que funcionar, no?

🗨️ 7
JoeDalton

a ver... te pongo un ej. tu quieres filtrar desde el puerto 1024 para abajo ok? pero quieres que haya acceso a un servidor FTP que hay en un pc de tu red, ok? pues bien, la solución sería esta:

#filter

IP:

1 ACCEPT TCP-DST-PORT=21;

2 REJECT TCP-DST-PORT(menor que)1024; no se pq pero no me coge el simbolo
Yo en alguna ocasión me he encontrado problemas, cuando tengo algun servicio correindo en un puerto que no le corresponde, ej: http en el 8080 en el lado wan y en el lado wan 80 y haciendo un accept tcp-dst-port=8080 me solucionaba el marrón, pero el tener 2 maquinas en el mismo puerto, con un filtro... no haces nada, o pasa o no pasa, pero no reparte.

🗨️ 6
BocaDePez

Y no seria lo mismo bloquear todos los puertos menores que el 1024 menos el que es igual a 80 con la operacion AND?

De todos modos lo he probado de las 2 formas y no hay manera, supongo que de algun modo debo cerrar algun puerto necesario para la navegacion.

Respecto a lo de que dos pc's usen el eMule al mismo tiempo (por ejemplo), yo pienso que con un filtro que dejara pasar los paquetes por determinados puertos seria suficiente, no? Se supone que el router sabe interpretar para quien va dirigido el paquete con su tabla ARP, porque sino, como seria posible la navegacion (puerto 80) con 2 pc's al mismo tiempo?

No lo se, soy nuevo en esto, pero pienso que seria suficiente. Dame tu opinión o tu experiencia personal, te lo agradeceria mucho.

Un Saludo y gracias.

🗨️ 5
JoeDalton

que el router hace que??? sisi... claro... verás... conectate por ej. a bandaancha con los 2 pcs y haz un netstat -a verás que los 2 pcs están conectados a la ip de bandaancha y que el puerto de destino es el 80 pero el puerto local de la máquina??? pues variable, por encima del 1024 y cada uno hará peticiones diferentes a través de un puerto local, el router toma dichos puertos y quien ha hecho la petición, para hacer nat, modificando los paquetes que se envían, que luego vuelve a modificar cuando los recibe para que le lleguen a cada destinatario.
De todas formas para conexiones entrantes, no es igual, la idea es la misma, pero... por ej, la máquina x de nosequien para conectarse a tu máquina a través del puerto 80, funciona todo igual, su puerto remoto es el 80 y local será uno de usuario, su ip destino será tu ip, pero... lo primero, el router no te deja redireccionar el mismo puerto a 2 ips, el router no sabría mandar el paquete a cual de las 2 máquinas. Como anotación, los filtros, filtran paquetes, que cumplan o no cumplan una serie de reglas... es decir... mayor del puerto tal, menor, si proceden de una ip, si tiene un formato determinado que tú le das... etc... pero hace que el paquete que pase o no pase pero no puedes decir... pasa a esta máquina o a esta otra.

No se si me he explicado muy bien. Pero bueno.

🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
JoeDalton
JoeDalton
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
JoeDalton
JoeDalton