filtros speedstream 5660

El tema de los filtros en el SS5660 es sencillo.
Se pueden aplicar filtros bien mediante la interfaz web o mediante comandos CLI desde telnet o hyperterminal (consola).

Voy a explicar el caso desde el CLI:
Lo primero que debemos hacer es activar el filtrado en el router, para ello, aplicamos el comando:

Command->set ipfilter enable

Una vez activado el filtrado con este comando, podemos pasar a aplicar filtros.

Conviene aplicar filtros de seguridad que impidan el acceso al router a través de los puertos HTTP (TCP 80), Telnet (TCP 23), FTP (TCP 21) y NetBios (TCP 139). Con esto, tendremos un nivel de seguridad básico.

Para aplicar estos filtros, debemos tener en cuenta lo siguiente:

Los filtros que creemos van numerados y el router los lee por orden consecutivo, priorizando los mismos según el orden numérico. Es decir, el primer filtro prevalece sobre el segundo y siguientes, el segundo sobre el tercero y posteriores y así sucesivamente.
Es decir que, si por ejemplo, creamos el primer filtro que permita el acceso al router de una IP determinada por un puerto y luego creamos un segundo filtro que impida el acceso a cualquier IP por este puerto, prevalecerá el primer filtro y la IP a la que da permiso podrá acceder a pesar de que el segundo filtro no lo permita.

Bien, una vez entendido esto, el comando genérico para crear un filtro es:

Command->set ipfiltercfg [número_del_filtro] [sentido] [acción] [protocolo] [IP_origen] [máscara_origen] [IP_destino] [máscara_destino] [número_ puerto]

Comando en el que:
[número_del_filtro] es el número de orden del filtro.
[sentido] es la dirección de filtrado que, lógicamente, puede ser desde Internet hacia el router (inbound) o desde el router hacia Internet (outbound).
[acción] es eso, lo que deseamos hacer: permitir (permit) o denegar (deny) la entrada/salida de una IP o IPs.
[protocolo] es el protocolo del puerto, normalmente TCP o UDP.
[IP_origen] es la IP origen o fuente.
[máscara_origen] es la máscara de red de la IP origen.
[IP_destino] es la IP de destino.
[máscara_destino] es la máscara de red de la IP destino.
[número_puerto] es eso, el número del puerto.

Bien. Ahora ya estamos en condiciones de aplicar los filtros básicos a los puertos que he citado al principio.
Para ello, aplicaremos los comandos siguientes:

Command->set ipfilter enable
Command->set ipfiltercfg 1 in deny tcp any any IP_pública 255.255.255.255 eq 80 n
Command->set ipfiltercfg 2 in deny tcp any any IP_pública 255.255.255.255 eq 23 n
Command->set ipfiltercfg 3 in deny tcp any any IP_pública 255.255.255.255 eq 21 n
Command->set ipfiltercfg 4 in deny tcp any any IP_pública 255.255.255.255 eq 139 n
Command->set ipfiltercfg 5 in permit all any any
Command->reboot
y

Con el primer comando, activamos el filtrado.
Con los filtros del 1 al 4 impedimos el acceso al router desde cualquier IP de Internet a través de los puertos citados al principio del post y, con el ultimo filtro (5), permitimos todo lo demás.
Finalmente, hacemos un reboot para que se guarden los filtros.

Saludos