Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
57 lecturas y 8 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Filtros en el SpeedStream 5660

    Hola,

    ¿qué sabeís sobre el funcionamiento de los filtros en el SS?
    ¿es necesario activar alguna opcuión para que funcionen?

    Lo que necesito es cerrar los puertos 21, 23, 80, 135, 137, 138, 139 y he puesto los filtros necesarios, pero al activarlos dejo de navegar por internet.

    Si sabeis algo...

    Muchas Gracias.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Busca en google algo sobre puertos y ¿qué encontrarás? Pues…

      Busca en google algo sobre puertos y ¿qué encontrarás? Pues que el puerto 80 que has cerrado es precisamente el de navegación. :-þ
      Ahora revisa los demás puertos que has cerrado a ver si te has auto-capado algún otro servicio que pensabas usar.

      • Cerrado

        BocaDePez BocaDePez
        6

        He probado a quitar el puerto 80, pero sigue sin funcionar,…

        He probado a quitar el puerto 80, pero sigue sin funcionar, curioso verdad :-( .
        Seguiré intentandolo, he oido que algo tiene que ver el orden con el que se coloquen los filtros, pero bueno.
        ¿y no podría ser que falte (o sobre) alguna opción más por confugurar?

        Salu2....

        • Cerrado

          6

          la reglas se leen de arriba a abajo, y todo lo que no quede…

          la reglas se leen de arriba a abajo, y todo lo que no quede explicitamnt definido se considera denegado (deny)
          Por tanto, mira a ver si tienes como ultima regla esto (tiene q estar la ultima, ya que si esta antes, el resto de reglas q esten por debajo no tendran ningun efecto):

          Direction - inbound
          Action - permit
          Source Address - any
          Destination Address - any
          Protocol - all

          Sobre lo de quitar el filtro al puerto 80, es el puerto http del servidor, pero el cliente no tiene porque utilizar ese puerto (si no recuerdo mal).

          Saludos.

            • Cerrado

              [Editado 17/09/02 04:13]

              6
              Si, le dices q permita todas las conexiones. Si no lo haces,…

              Si, le dices q permita todas las conexiones. Si no lo haces, t denegara absolutamnt todo (excepto las reglas q hayas puesto q permita) y t quedaras literalmnt aislado.

              Se pone siempre la ultima, pq lo q se suele hacer es denegar ciertas cosas y permitir el resto, no al reves (denegar todo y permitir solo unas pocas). De esa forma te aseguras no capar involuntariamnt otros servicios (como por ejemplo la navegacion).

              De todas formas no te preocupes por el tema de que puedan acceder a los pcs q estan detras del router, pues para ello tendrias q redirigir los puertos con la NAPT.

              Si no me he explicado bien, preguntame otra vez ;)

              Saludos!

              Nota: Esto es una deduccion propia que he sacado al hablar con mas gente sobre el tema de que el "route hace firewall".
              Para la mayoria de los usuarios es una verdad a medias (ya que no configuran el ip filtering). Es realmnt la NAPT lo que les hace estar a "salvo" de las entradas, ya que en cuanto llega una peticion de conectar a un puerto q no esta mapeado, el router no sabe q hacer con el (explicado de forma coloquial), y por tanto los deniega.

              • Cerrado

                Entonces si he entendido bien, si no tines necesidad de no…

                Entonces si he entendido bien, si no tines necesidad de no permitir algun puerto en cuestión, poner esa instrucción o bien no activar el IpFiltering tiene el mismo efecto ¿no?.

                Por otra parte, hay algún puerto en cuestión que sea interesante "capar"?.

                Gracias

                • Cerrado

                  6
                  Poner esa regla es lo mismo q no activar el ip filtering,…

                  Poner esa regla es lo mismo q no activar el ip filtering, siempre y cuando no pongas reglas de denegacion por encima de esta.

                  Te pongo unos cuantos ejemplos para q veas el funcionamiento (recuerda q las reglas se leen de arriba a abajo).

                  ------------------------------------------------------------------------------------
                  Ejemplo 1:

                  1 inbound permit any any all

                  En este caso, como solo tenemos esa regla, no activar el ip filtering seria lo mismo que activarlo solo con esta regla.
                  -------------------------------------------------------------------------------------
                  Ejemplo 2:

                  1 inbound deny any any icmp echo
                  2 inbound permit any any all

                  Esto hace que deniegue todos los icmp echo (los tipicos ping), y permita el resto de conexiones.

                  -------------------------------------------------------------------------------------
                  Ejemplo 3

                  1 inbound permit any any all
                  2 inbound deny any any icmp echo

                  Esto directamnt permite absolutamnt todas las conexiones, ya que la 1ª regla permite todo. Como se lee de arriba a abajo, la ultima no surte efecto, pues en la primera ya has dicho q aceptas todo.

                  -------------------------------------------------------------------------------------
                  Ejemplo 4

                  1 inbound permit 195.235.97.200 255.255.255.255 any tcp Any port Equal to 21

                  Esto hace que permitas las conexiones procedentes de 195.235.97.200 al puerto 21/tcp. Sin embargo, deniega todo lo demas. Esto es debido, a q todo lo q queda excluido de las reglas de filtrado, por defecto se deniega. Por eso es importante poner en la ultima regla q permites todo.

                  -------------------------------------------------------------------------------------

                  En cuanto a que puertos es interesante captar, yo personamnt tengo cerrado el 21 y el 23 del exterior al router (source address: any , destination address: tu ip publica), y la peticiones de ping (no respondo a los pingeos). Pero vamos, la configuracion del filtrado suele ser algo personal.

                  Saludos!