Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
57 lecturas y 13 respuestas
  • Cerrado

    Me atacan a traves del FW !!

    Buenas.

    Tengo un Router Linksys Adsl Gateway WAG54G-XW con el FW activo y los puertos cerrados, excepto los q uso.

    Resulta que Norton salta y avisa de un ataque!

    -----------8X----------------------------
    Norma "Bloqueo predeterminado de caballo de Troya DeepThroat" bloqueada (212.8.122.9,3150)
    Paquete UDP de entrada

    Dirección, servicio remoto es (212.8.122.9,27015)
    -----------8X----------------------------

    No entiendo como el servicio remoto esta en 27015 y el bloqueo es de 3150 ¿?.

    El puerto 27015 es el de eMule....

    No se si es un ataque real o no, el caso es que he mirado en el router y parece que lo tengo bien todo:

    En la página de security:
    "Firewall Protection: Enabled" y "Block Anonymous Internet Requests: Enabled"

    En application and gammings activos los puertos: 21, 25, 110, 161, 3344.

    En Port Range Fordwaring todo desactivado

    En Port Trigering /(se abren solo si se invoca desde dentro) va por rango de puertos, pero tengo rangos de un solo puerto y mapeo al mismo puerto local para: 4662 Tcp, 27015 Udp, 4672 Udp, 4661 Tcp, 4665 Udp, 3085 Tcp.

    Por si ayuda dire que tengo DMZ Hosting disabled, la administración remota desactivada y uPnp desactivado.

    ¿Alguna idea?

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 10/06/04 11:05]

      6

      Por cierto, he buscado un poco sobre lo que es el Port…

      Por cierto, he buscado un poco sobre lo que es el Port Triggering, y he encontrado esto:

      http://www.dslreports.com/forum/remark,1020195;root=equip,16;mode=flat

      Si he entendido bien, creo que no estás utilizando el Port Triggering de la manera correcta, creo que deberías utilizar el port forwarding para todo, sería lo más lógico. El port triggering me recuerda un poco.. al Intelligent PAT del 3com 812 (que tengo yo) y que la verdad no es demasiado seguro.

      saludos,

      editado: te recuerdo que hay que tener bastante claro el concepto de conexión entrante y saliente, y lo que realmente hace NAT. Por ejemplo, no necesitas para nada tener abiertos los puertos 4661 tcp y 4665 udp, estos son puertos de los servidores del emule, cuando conectas a esos puertos son conexiones _salientes_, que el router permite sin problemas.

      • Cerrado

        Respecto al trigering, si he entendido bien en el manual del…

        Respecto al trigering, si he entendido bien en el manual del router, esta pensado para el uso de DHCP en la red interna, donde no puedes mapear un puerto a una IP que no se conoce de antemano.

        Cuando configuras un puerto en este modo, inicialmente queda cerrado hasta que desde dentro de intenta utilizar, y en ese caso se hace el mapeo a la IP interna que demandó la conexión.

        Esto me ha generado siempre una duda... Si tengo dos PC detras de un router, y el router mapea un puerto hacia una IP, ¿los dos PC no pueden usar el mismo puerto (p.e. 80)?

        Respecto a las conexiones salientes, tienes razón. La verdad es que seguí las instrucciones al dedillo, sin pararme a pensar. Se supone que el router no impide las conexiones salientes, sea por el puerto que sean.... lo probaré. Muchas gracias!

        • Cerrado

          6

          Según el link que he posteado, el triggering serviría por…

          Según el link que he posteado, el triggering serviría por ejemplo, para el servidor IDENT cuando conectas a un servidor de IRC. Si tienes configurado un trigger a una IP internta determinada y con el puerto del ident (113), desde fuera, en principio, el puerto 113 no será accesible. Pero si en cambio haces una conexión a un servidor de IRC, y éste te devuelve un intento de conexión a tu puerto 113, el router al ver que acabas de conectar con esa IP se activa el trigger, y entonces el puerto 113 sí que será accesible desde fuera, aunque sólo por el servidor de IRC y hasta 2 minutos después de que cese la actividad.

          Por ejemplo, no se muy bien si es lo que preguntas, pero cuando te conectas a una web, te estás conectando a su puerto 80, el puerto local, desde el que sale la petición, es completamente aleatorio, windows suele ir en orden puerto por puerto a partir del 1024.

          • Cerrado

            [Editado 10/06/04 16:42]

            Jode. tanto ejemplo, y tenemos la respuesta en el mismo…

            Jode. tanto ejemplo, y tenemos la respuesta en el mismo sitio, de forma mucho más clara en las FAQ http://www.dslreports.com/faq/5799:

            Example: You define port 25 as trigger and 113 as port. If any of your LAN machines creates a outgoing connection (=trigger) to port 25 (e.g. to send mail), all incoming connections to port 113 will temporarily go that that machine. After a timeout, new 113 connections will again be dropped as in case (1).

            Lo que pasa es que no se cómo me funcionaba, pq yo no configuré pensando en este funcionamiento :-P

            Q asco de manuales!

            • Cerrado

              Q asco me doy y cuanto me aburro! Ya está. Si tengo activado…

              Q asco me doy y cuanto me aburro!

              Ya está.

              Si tengo activado el puerto por el triggering, habilito la posibilidad de que cualquiera con los que me conecto con eMule intente un ataque.

              SASTASMENTE!

              El cabrón que me entró, era uno de los tios con los que estaba conectado por eMule.

              Ya he quitado todos los triggering ;-)

          • Cerrado

            Vamos por partes, q esto se va complicando: 1) Mi pregunta…

            Vamos por partes, q esto se va complicando:

            1) Mi pregunta sobre los puertos se refería a que no podría tener, p.e. dos servidores WEB o FTP en sendas máquinas, detras del mismo router. Entiendo que es una limitación de NAT, ya que desde fuera sólo se ve la IP del router, tiene sentido, pero tenía la esperanza de que estuviera resuelto de alguna forma :).

            2) El segundo parrafo soluciona una vieja duda, aunque los sospechaba no tenía documentación al respecto. Como ves no tengo experiencia en routers, simpre he tenido modems.

            3) Respecto al trigering, justo el post al que me remitiste (muchas gracias), usa un ejemplo que no me vale de mucho, pq no uso IRC, ni se lo que es un servidor IDENT. ¿Lo que tu interpretas es que cuando haces una conexión desde dentro por uno de estos puertos, le dices al router que el otro sistema puede conectarse usando cualquier otro puerto?

            Eso podría explicar la situación del principio, pero entonces dejo de entender otras cosas :-). Voy a mirar más sobre el tema....

    • Cerrado

      6

      Yo creo que ha sido que el emule ha utilizado un puerto para…

      Yo creo que ha sido que el emule ha utilizado un puerto para conectar a otro usuario que, a la vista del norton, es un puerto utilizado por ese troyano (deepthroat). Me suena a que es el mismo caso de algunos usuarios que tienen el emule funcionando en el puerto 25 (que es el puerto por defecto del SMTP, servidor para enviar correos), pues cuando otro usuario que tiene el ZoneAlarm intenta a conectar a ese usuario, el fw, al ver que la petición va dirigida al puerto 25, salta diciendo "Alerta, emule.exe está intentando enviar un correo, se ha bloqueado." Y el pobre emule se queda sin poder conectar a ese usuario que tiene su emule en el puerto 25. :P espero que esté suficientemente claro.. pero creo que esto es un caso del mismo tipo.

      Lo que no tengo demasiado claro es lo que pone en la alerta, ya que pone 2 veces la misma IP con puertos diferentes. Pero bueno, yo también tengo el norton, y a veces no es del todo preciso al dar la información detallada sobre una alerta (se lia con inbound y outbound, etc..)

      saludos,

      • Cerrado

        Muchas gracias por los comentarios. No tengo claro que sea…

        Muchas gracias por los comentarios.

        No tengo claro que sea eso, puesto que la conexión se supone que viene desde fuera. ¿No? Y lo que comentas se produce al usar ese puerto desde dentro.

        • Cerrado

          6

          Creo que en el caso del UDP no hay conexiones, simplemente…

          Creo que en el caso del UDP no hay conexiones, simplemente paquetes, por lo que pueden ser paquetes entrantes o salientes. Después de haber enviado paquetes UDP a una IP, si ésta última te responde con otro paquete UDP utilizando los mismos puertos (local y remoto) entonces éste paquete llegará a tu ordenador también, porque el router había creado una entrada en su tabla NAT (donde almacena todas las conexiones mantenidas por cada IP interna) y el paquete será llevado hasta tu ordenador. Entonces será un paquete entrante. Como estas entradas son UDP y no pueden cerrarse por sí mismas, suelen tener un timeout de 60 o 90 segundos.

          joer vaya lío.