Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
42 lecturas y 4 respuestas
  • Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 24/12/02 06:22]

      El tema de los filtros en el SS5660 es sencillo. Se pueden…

      El tema de los filtros en el SS5660 es sencillo.
      Se pueden aplicar filtros bien mediante la interfaz web o mediante comandos CLI desde telnet o hyperterminal (consola).

      Voy a explicar el caso desde el CLI:
      Lo primero que debemos hacer es activar el filtrado en el router, para ello, aplicamos el comando:

      Command->set ipfilter enable

      Una vez activado el filtrado con este comando, podemos pasar a aplicar filtros.

      Conviene aplicar filtros de seguridad que impidan el acceso al router a través de los puertos HTTP (TCP 80), Telnet (TCP 23), FTP (TCP 21) y NetBios (TCP 139). Con esto, tendremos un nivel de seguridad básico.

      Para aplicar estos filtros, debemos tener en cuenta lo siguiente:

      Los filtros que creemos van numerados y el router los lee por orden consecutivo, priorizando los mismos según el orden numérico. Es decir, el primer filtro prevalece sobre el segundo y siguientes, el segundo sobre el tercero y posteriores y así sucesivamente.
      Es decir que, si por ejemplo, creamos el primer filtro que permita el acceso al router de una IP determinada por un puerto y luego creamos un segundo filtro que impida el acceso a cualquier IP por este puerto, prevalecerá el primer filtro y la IP a la que da permiso podrá acceder a pesar de que el segundo filtro no lo permita.

      Bien, una vez entendido esto, el comando genérico para crear un filtro es:

      Command->set ipfiltercfg [número_del_filtro] [sentido] [acción] [protocolo] [IP_origen] [máscara_origen] [IP_destino] [máscara_destino] [número_ puerto]

      Comando en el que:
      [número_del_filtro] es el número de orden del filtro.
      [sentido] es la dirección de filtrado que, lógicamente, puede ser desde Internet hacia el router (inbound) o desde el router hacia Internet (outbound).
      [acción] es eso, lo que deseamos hacer: permitir (permit) o denegar (deny) la entrada/salida de una IP o IPs.
      [protocolo] es el protocolo del puerto, normalmente TCP o UDP.
      [IP_origen] es la IP origen o fuente.
      [máscara_origen] es la máscara de red de la IP origen.
      [IP_destino] es la IP de destino.
      [máscara_destino] es la máscara de red de la IP destino.
      [número_puerto] es eso, el número del puerto.

      Bien. Ahora ya estamos en condiciones de aplicar los filtros básicos a los puertos que he citado al principio.
      Para ello, aplicaremos los comandos siguientes:

      Command->set ipfilter enable
      Command->set ipfiltercfg 1 in deny tcp any any IP_pública 255.255.255.255 eq 80 n
      Command->set ipfiltercfg 2 in deny tcp any any IP_pública 255.255.255.255 eq 23 n
      Command->set ipfiltercfg 3 in deny tcp any any IP_pública 255.255.255.255 eq 21 n
      Command->set ipfiltercfg 4 in deny tcp any any IP_pública 255.255.255.255 eq 139 n
      Command->set ipfiltercfg 5 in permit all any any
      Command->reboot
      y

      Con el primer comando, activamos el filtrado.
      Con los filtros del 1 al 4 impedimos el acceso al router desde cualquier IP de Internet a través de los puertos citados al principio del post y, con el ultimo filtro (5), permitimos todo lo demás.
      Finalmente, hacemos un reboot para que se guarden los filtros.

      Saludos

      • Cerrado

        BocaDePez BocaDePez
        6

        Tengo mi conexion adsl compartida en red, y alguien está…

        Tengo mi conexion adsl compartida en red, y alguien está usando edonkey a tope sin autorización, me gustaría poder evitar que nadie usase el edonkey excepto mi máquina. Sé que esto se puede hacer con filtros, pero cuando lo intento los resultados no son los deseados, corto la conexión a todo el mundo, o paro todos incluido el mío.

        Mi ordenador es la IP 10.0.0.1, y los puertos que usa edonkey son 4661 4662 y 4665, por tcp, el 4665 también lo usa por UDP.

        Si pudieses ponerme unas líneas como lo has hecho con tu ejemplo para este caso concreto te lo agradecería mucho.

        PD: imagino que los comandos cli se hacen a través del puerto serie, ¿no?, o también vale vía ftp?

        Saludos cordiales.