Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
60 lecturas y 22 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    paranoia!, el 812 + 2.1.5 no bloquea!

    me he pasado la noche pegándole una capada monstruosa a los puertos del 3com. primero lo he actualizado a 2.1.5, luego he borrado a mano los *.flt desde hyperterminal, luego le he puesto filtros de entrada udp y tcp para que descarte del puerto 1056 para abajo, mas los extras como 1900, 5000, 8080 etc.... también he bloqueado todo el icmp de entrada. Acto seguido me he metido en shields up! a ver cómo había quedado la cosa y me sale niquelado. Ni un paquete suelto, todo en verde, felicitaciones es usted un puto paranoico.

    Y me fijo ahora en los logs del zonealarm y todavía me salen alertas de entrada por el puerto 137, ¡nada menos!. ¿Pero qué leches de 137 si en todos los tests me ha salido stealth, y eso en varios sitios de prueba?

    que alguien me lo explique por favor. :-?

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
      • Cerrado

        BocaDePez BocaDePez
        6

        Lo del inat no sé qué es. Al actualizar a 2.1.5 nat pasó a…

        Lo del inat no sé qué es. Al actualizar a 2.1.5 nat pasó a llamarse pat, y apareció una entrada nueva nat. La he dejado sin configurar. Y que me frían con cebolla si he de saber si después de actualizar el firmware la cosa se ha quedado en monopuesto o multipuesto.

        Lo cierto es que las dos máquinas W2Kpro navegan, pero la W98 ya no.

        Creo que los dosmiles están saliendo a internet con alguna brujería de Servicio de Violación de Seguridad, o Servicio de Puenteo de Firewall, o similar. El 2000 es tan nefasto y maligno que igual sale a internet hasta desenchufado de la red, como Christine arrancaba sin gasolina. El 98 pobrecito es sólo un demonio menor y no es capaz de salir.
        ...

        Este es el bonito filter que monté. Le paso un verify desde cli y no me da errores. De hecho no me da nada. con otro filtro me dió too many parameters así que creo que si verify no contesta nada es que todo está bien, pero no estoy seguro.
        --------------------------------------------
        3Com-DSL>SHOW FILTER INWAN.FLT

        RULES FOR FILTER /./INWAN.FLT PROTOCOLS: ALL
        #filter

        IP:

        [FN=base ports| FI=1| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        1 REJECT TCP-DST-PORT{CI=2| Enabled=yes }
        2 REJECT UDP-DST-PORT
        [FN=other tcp ports| FI=2| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        3 REJECT TCP-DST-PORT=1720;
        {CI=2| Enabled=yes }
        4 REJECT TCP-DST-PORT=1900;
        {CI=3| Enabled=yes }
        5 REJECT TCP-DST-PORT=5000;
        {CI=4| Enabled=yes }
        6 REJECT TCP-DST-PORT=8080;
        {CI=5| Enabled=yes }
        7 REJECT TCP-DST-PORT=8090;

        [FN=other udp ports| FI=3| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        8 REJECT UDP-DST-PORT=1720;
        {CI=2| Enabled=yes }
        9 REJECT UDP-DST-PORT=1900;
        {CI=3| Enabled=yes }
        10 REJECT UDP-DST-PORT=5000;
        {CI=4| Enabled=yes }
        11 REJECT UDP-DST-PORT=8080;
        {CI=5| Enabled=yes }
        12 REJECT UDP-DST-PORT=8090;
        ----------------------------------------
        con este filtro me voy a shields up y hago el test de puertos 0-1056 y me sale todos en stealth menos:

        1 cerrado
        23 abierto
        24-31 cerrado
        80 abierto
        81-89 cerrado

        --------------------

        Así que me cago en sus muelas, reseteo por cli, voy a mantenimiento, renombro INWAN.FLT a INRSInternet.FLT (o sea de filtro genérico Remote Sites a específico Remote Site "Internet") vuelvo a hacer la prueba del 0 al 1056 y esta vez me sale todo en stealth salvo el 1, que está cerrado. ¿mola o no mola? la Dimensión Desconocida...

        Cuando actualicé a 2.1.5 no borré todos los archivos primero, sólo los *.FLT, porque no tenía claro si se podía o no machacar todo. Y tampoco sé como descartar los ICMP Echo sin tener que bloquear todo el tráfico ICMP de entrada, así que por el momento lo dejo abierto.

        Un saludo,
        Paranoico.

        • Cerrado

          juer vaya la que te has preparado en un momento.... la…

          juer vaya la que te has preparado en un momento....

          la pregunta es... tu te has renombrado solito los filtros y demás no?? hablo de los nombres de fiechero en el router.
          Si los creas con el navegador web no hace falta que renombres nada. Seguramente tu tabla de filtros, no coincide con lo que tiene que tiene el router en memoria, así que los filtros no funcionan.

          Verifica lo siguiente en el cli:

          list filters

          show vc [nombre de la vc]

          aquí en el input filter te aparecerá nombre del filtro que tienes asignado a la vc.

          sh int atm:1 set

          y aquí lo que tengas asociado a la vc.

          Si lo que te sale en el list filters no coincide con ninguno de los 2, es que algo hay mal (sobre todo si has cambiado los nombres).

          Otra cosa, yo con filtros de más de 10 sentencias he tenido problemas de ejecución, había sentencias que no se filtraban (viene en el manual del cli).

          Saludos.

          • Cerrado

            BocaDePez BocaDePez
            6
            Sí, se ve que menor que seguido de igual es interpretado como…

            Sí, se ve que menor que seguido de igual es interpretado como html y borra el resto de la línea.

            Veamos, list filters me da que sólo existe INRSInternet.FLT

            show vc [nombre de la vc] me sale que usa INRSInternet.FLT como input filter

            con sh int atm:1 set, me sale el INWAN.FLT como input filter. dicho filtro no existe.

            Luego:
            -¿está bien?
            - si no, ¿cómo cambio el atm:1 ese para que use el INRSInternet.FLT?
            - ¿o es que me toca hacer copia de INRSInternet.FLT como INWAN.FLT?
            -o nada de lo anterior.

            Un saludo,
            Paranoico.

              • Cerrado

                BocaDePez BocaDePez
                6
                gracias, iba a pedírtelo yo. ------------------ bueno, me he…

                gracias, iba a pedírtelo yo.
                ------------------

                bueno, me he cargado el inat y he dejado los filtros en esto:

                RULES FOR FILTER /./INRSInternet.FLT PROTOCOLS: ALL
                #filter

                IP:

                [FN=base ports, ICMP| FI=1| Enabled=yes | Type=Adv ]
                {CI=1| Enabled=yes }
                1 REJECT TCP-DST-PORT menor o igual que 1080;
                {CI=2| Enabled=yes }
                2 REJECT UDP-DST-PORT menor o igual que 1080;
                {CI=3| Enabled=yes }
                3 REJECT PROTOCOL=ICMP;

                [FN=upper ports| FI=2| Enabled=yes | Type=Adv ]
                {CI=1| Enabled=yes }
                4 REJECT TCP-DST-PORT=1720;
                {CI=2| Enabled=yes }
                5 REJECT TCP-DST-PORT=5000;
                {CI=3| Enabled=yes }
                6 REJECT TCP-DST-PORT=8080;
                {CI=4| Enabled=yes }
                7 REJECT UDP-DST-PORT=1720;
                {CI=5| Enabled=yes }
                8 REJECT UDP-DST-PORT=1900;
                {CI=6| Enabled=yes }
                9 REJECT UDP-DST-PORT=8080;
                3Com-DSL>

                y ahora en el shields up me sale que de 1056 para abajo solo tengo stealth el 0, 23 y 80, el resto cerrados.

                socorro

                Un saludo,
                Paranoico.

                • Cerrado

                  BocaDePez BocaDePez
                  6
                  por el procedimiento de -borrar *.flt -resetear -crear…

                  por el procedimiento de
                  -borrar *.flt
                  -resetear
                  -crear filtros
                  -guardar filtros
                  -resetear
                  -testear

                  he probado con varias combinaciones de filtro, la última con solo dos entradas, menor que 1081 tcp/udp

                  ni flores. sólo tengo stealth los puertos 23 y 80, el resto cerrados. Me da la impresión de que ha empezado a pasar al deshabilitar el inat, ¿puede ser?

                  así que ya sólo me falta borrar TODOS los archivos de la flash, reinstalar firmware, reconfigurar internet, filtros y probar otra vez.

                  por favor necesitaría saber si es seguro borarr todos los archivos del 3com, no sea que me lo cargue

                  y también me vendría bien que me indicárais dónde explica cómo configurar el 812 para que se comporte como un canuto, ni firewall ni nat ni nada de nada, sólo módem ethernet. Porque pinta de que toca poner firewall linux dedicado.

                  Un saludo,
                  Paranoico.

                  • Cerrado

                    a ver, a mi nunca me ha hecho falta borrar ficheros...…

                    a ver, a mi nunca me ha hecho falta borrar ficheros... blabla... con borrar la configuración, cargar firmware y demás, he ido sobrado.
                    De todas formas para que te hagas a la idea:

                    si tu tienes activo nat, (con inat desactivado) aunque no tengas filtros, el router no va a dejar pasar tráfico hasta tu máquina, me refiero a cualquier conexión que venga de fuera... por ej. en tu máquina tienes un servidor ftp, pues ninguna máquina de fuera podría conectar, en cierto modo ya tienes algo de seguridad.

                    El que el 23 y el 80 te aparezcan sthealt y el resto como closed, es debido a que no tienes servicios corriendo en esos puertos, así que llega el paquete, pero como no puede conectar con nada, no hay devolución de tráfico deben de aparecer como cerrados (no hay ningún servicio a la escucha).

                    El que haga como módem? pues simple configuralo en monopuesto, así de fácil, dejará la ip pública sobre una máquina, y ahí ya harás lo que tú quieras.

                    • Cerrado

                      Hola, hace poco abrí un hilo con el título Test de puertos ->…

                      Hola,

                      hace poco abrí un hilo con el título Test de puertos -> cerrados en el que describía algo parecido a lo que te pasa a ti. Sencillamente, todos los puertos me aparecían cerrados cuando según las reglas que creaba debían aparecerme como Stealth.

                      Conseguí delimitar el problema, bajo la 2.1.5, borrando los puertos abiertos (según se indican en Remote Sites, apartados TCP y UDP). Desde ese momento, los puertos me aparecían correctamente en Stealth. Pero cualquier apertura específica de puertos provocaba que el jo#€@ router se pasara los filtros por el forro de sus narices :-P

                      Finalmente opté por volver a la versión 1.1.9 de al firmware y funcionó todo correctamente, aún abriendo puertos en el lugar indicado...

                      Posteriormente intenté delimitar algo más el problema y probé a instalar la versión 2.1.3 que también anda rulando por ahí. Quería además probar con la 2.0, que creo que es la última 'oficial'. Pero, cosas de la vida, el router ha muerto. Quizás todo este comportamiento extraño se debiera a que estaba a punto de palmarla, no lo sé, el caso es que decidió pasar a mejor vida (no pasaba del segundo paso según observé usando el hyperterminal durante el boot). Ahora mismo se encuentra en tránsito hacia el servicio técnico de 3Com... :-D

                      Podrías hacer esa misma prueba, instala la 1.1.9 y confirma que se solucionan los problemas.

                      Saludines.

                      • Cerrado

                        eso no tiene mucha lógica, yo he notado comportamientos…

                        eso no tiene mucha lógica, yo he notado comportamientos extraños con los filtros, pero de variar de una versión a otra de firmware no. Puede que fuera un 'aviso' antes de cascarla, no lo se, pero ante eso ten en cuenta ques un cacharro lógico, o es 0 o es 1, no hay 0.5 es decir, o filtra o no filtra, pudiera ser de la inestabilidad antes de morir o algo así, no le encuentro otro sentido.

                        • Cerrado

                          Pues vale, aplicaremos la lógica: dos firmware's, la 2.1.5 y…

                          Pues vale, aplicaremos la lógica:

                          dos firmware's, la 2.1.5 y la 1.1.9, y el mismo filtro sobre ambas. Con la primera los filtros funcionan 'a medias', con la segunda no.

                          Aplicando la lógica, o bien una de ellas no filtra como debiera, o bien el cacharro estaba a punto de palmarla.

                          Ah, para no dejar lugar a dudas, los comandos de configuración sobre una y otra, variando sintaxis, son los mismos.

                          Un saludo.

                          • Cerrado

                            lo q si te puedo asegurar es q a mi con diversos filtros en…

                            lo q si te puedo asegurar es q a mi con diversos filtros en diferentes routers con versiones distintas, me han funcionado a la perfección, salvo con una excepción, se hace uso de las condiciones and (ip & puerto) no me han dado resultados esperados, o bien, cuando superaba en cantidad a 10.
                            Solución, cambiar la política.
                            poner primero los accept.
                            ponder después trafico denegado.
                            ej:

                            #filter
                            IP:

                            1 ACCEPT SRC-ADDR=xxx.xxx.xxx.xxx;
                            2 REJECT TCP-DST-PORT=23;
                            3 REJECT TCP-DST-PORT=21;

                            Ojo, esto es más estable que cualquier filtro que pongas and, pero como desventaja, la ip a la que das acceso, le das acceso total. Por ej, esa ip tendría acceso a los puertos 23 y 21 aunque esté el filtro (por eso previamente la dejas pasar). Aparte añadir que no tienes que superar las 10 condiciones porque sino las filtra aleatoriamente, además de hacerlo a su libre albedrío.
                            Además, si tienes nat activo (o pat), eso ya está haciendo de firewall (siempre y cuando no tengas activo inat o ipat), siempre y cuando no tengas redireccionado ningún puerto hacia tu máquina, nat hace que cualquier tráfico con destino a su ip, si no hay un puerto redireccionado, el paquete no pase de ahí, tú con el filtro, puedes hacer que cierto tráfico llegue o no, da más posibilidades que nat.

                            Saludos.

                            • Cerrado

                              Ok Joe, yo me he limitado en mis pruebas a un único filtro,…

                              Ok Joe,

                              yo me he limitado en mis pruebas a un único filtro, descarto cualquier tráfico con destino a la ip pública. Con esto *todos* los puertos deberían aparecer como stealth, nunca cerrados, salvo evidentemente aquellos abiertos específicamente en remotesites, con lo cual descarto problemas de uso de AND's y el tener más de 10 casos activos.

                              Un saludo.

                              • Cerrado

                                me acuerdo de tu post y me acuerdo de tu filtro (pero no…

                                me acuerdo de tu post y me acuerdo de tu filtro (pero no encuentro ahora el post).

                                Bueno digo lo que he dicho un poco más arriba:

                                El que el 23 y el 80 te aparezcan sthealt y el resto como closed, es debido a que no tienes servicios corriendo en esos puertos, así que llega el paquete, pero como no puede conectar con nada, no hay devolución de tráfico deben de aparecer como cerrados (no hay ningún servicio a la escucha).

                                No se si me explico, pero si tu tienes un servicio corriendo en el puerto 80 hay posibilidad de conexión (independientemente de que esté filtrado o no), si no hay servicio corriendo en ese puerto, no puedes filtrar (puedes filtrar) pero ya de por sí nadie o nada podrá conectar ahí, por eso yo creo que aparecen closed.
                                La prueba sería cambiar por ej, el servicio web de puerto, para ver si el 'problema' pasa, es decir, si a ti te aparece sthealt el 80 por tu filtro, cambias el servicio web del router al 50 por ej, y si el 80 aparece closed y el 50 sthealt, viene a ser lo que te estoy diciendo.

                                No se si me he explicado, pero hoy no ando muy inspirado, lo siento.

                                • Cerrado

                                  1) Offtopic: j#€@ siempre me pasa lo mismo con el refresh…

                                  1) Offtopic: j#€@ siempre me pasa lo mismo con el refresh (siempre se me olvida que no debo poner el título hasta el final)

                                  2) "El que el 23 y el 80 te aparezcan stealth y el resto como closed, es debido a que no tienes servicios corriendo en esos puertos, así que llega el paquete, pero como no puede conectar con nada, no hay devolución de tráfico deben de aparecer como cerrados (no hay ningún servicio a la escucha)"

                                  en mi caso particular, en las primeras pruebas el 23 y el 80 los filtraba de forma específica. Por eso aparecían Stealth. Sólo en ese caso funcionaban los filtros.

                                  Pero según dices, "así que llega el paquete, pero como no puede conectar ": efectivamente, llega el paquete. ¿A dónde? A la ip pública, a.b.c.d. Pero si específicamente le digo que no acepte nada sobre a.b.c.d, pues no debería responder que está cerrado. De hecho, no responde, pero sólo si no abro puertos en "Remote Sites". Ojo: los puertos que abro nada tienen que ver con los que aparecen cerrados.

                                  3) "pero si tu tienes un servicio corriendo en el puerto 80 hay posibilidad de conexión (independientemente de que esté filtrado o no)"

                                  Según mi experiencia con el router cuando ha funcionado correctamente, si filtro un puerto impido cualquier conexión al mismo así como la detección de que hay algo por detrás (es decir, que aparezca cerrado) independientemente de que tenga un servicio corriendo en él o no.

                                  4) "si no hay servicio corriendo en ese puerto, no puedes filtrar (puedes filtrar) pero ya de por sí nadie o nada podrá conectar ahí, por eso yo creo que aparecen closed"

                                  Creo entender que a ti, particularmente, te da lo mismo que aparezca Stealth que Closed. A mi no me da igual. Un puerto detectado como Closed delata la existencia de un dispositivo a la escucha, independientemente de que acepte conexiones (exista un servicio) o no. En ningún momento digo que se comprometa la seguridad, si está cerrado no pasa, está claro, pero no es el comportamiento deseado.

                                  De cualquier forma, no deberían aparecer como Closed, ya que específicamente filtro cualquier intento de conexión a la IP pública y filtrar significa 'descartar'.

                                  Perdona que sea muy reincidente y quizás cabezón :-D , te aseguro que no es persecución, pero es que creo conveniente aclarar de una vez por todas si hay un fallo en la firmware o no.

                                  Un saludo.

                                  • Cerrado

                                    BocaDePez BocaDePez
                                    6
                                    Pues juzgado por mi mismo diría que las reglas de filtrado no…

                                    Pues juzgado por mi mismo diría que las reglas de filtrado no sirven para nada si no hay un servicio detrás de los puertos, según lo que dices que has probado... o sea que tenemos que tener un servicio detrás de cada puerto para que el router se comporte como si no hubiera nada según le decimos con las reglas, resulta un poco ridículo.

                                    Lo que no me cuadra mucho es que con la 1.1.9 te haga lo mismo, no coincide con los resultados que obtuve yo. ¿Has probado a filtrar la ip pública sin más en lugar de los puertos como explicaba? ¿Tenías algún puerto redirigido en remote sites en ambos casos?

                                    De cualquier forma, en la página 6-26 del manual (Manual Setup), justo a la mitad, se indica de los filtros (y traduzco para no liar esto) que "cuando una interfaz de red (LAN/WAN/...) recibe paquetes de datos, se analizan las cabeceras de información contra una serie de reglas que se pueden definir. Un filtro entonces permite a la información pasar o ser descartartada."

                                    En ningún momento se menciona que los servicios deban estar rulando para descartar un bloque de información. De hecho, tal como se explica, se entiende la funcionalidad que proporcionan los filtros como un firewall o control de tráfico de entrada y/o salida.

                                    Por tanto, si un puerto aparece cerrado, implica que el router no ha aplicado ningún filtro; como bien has dicho, no sabe a dónde dirigirlo y por tanto responde que está cerrado, lo cual, con el manual en la mano, no es el comportamiento deseado

                                    Quieeeeroo un filtraaaaado de pueeeeertoos !!! XDD

                                    Un saludín :-P

                                  • Cerrado

                                    te cuento muy rápido que tengo que salir zumbando... a ver...…

                                    te cuento muy rápido que tengo que salir zumbando...

                                    a ver... 2 routers... 1 con la 1.1.9 y otro con la 2.1.5

                                    mismo filtro: filtro puertos del 1024 para abajo.

                                    Resultado el mismo, sthealt los puertos dónde hay servicios 23 y 80 y el resto closed. Probado con los 2 y el resultado es el mismo con los 2 firmwares....

                                    lo curioso es que si activo inat si que me aparecen la gran parte como sthealt...

                                    juzga por ti mismo.

                                • Cerrado

                                  BocaDePez BocaDePez
                                  6
                                  Joe, no se si te refieres a los problemas que tenía yo en su…

                                  Joe,

                                  no se si te refieres a los problemas que tenía yo en su día, pero bueno esto es lo que pienso sobre los problemas que planteas:

                    • Cerrado

                      BocaDePez BocaDePez
                      6
                      en fin, probaré. lo que me mosquea es que sea inestable.…

                      en fin, probaré. lo que me mosquea es que sea inestable. según le pega funcionan todos los filtros y otras veces ninguno, o alguno.

                      Buscaré por ahí lo del monopuesto.

                      Muchas gracias y un saludo
                      Paranoico.

                • Cerrado

                  será pq no hay servicios corriendo en esos puertos, si…

                  será pq no hay servicios corriendo en esos puertos, si quieres prueba a hacer una cosa.
                  Cambia el servidor web del router del puerto 80 al 50 por ej.

                  disa netWORK servICE httpd

                  set netWORK servICE httpd sockET 50 clOSE_ACTIVE_CONNECTIONS truE

                  ena network service httpd

                  ahora para acceder a tu router deberías de entrar con: http://ip_del_router:50 ya que hemos cambiado el puerto al 50

                  Para dejarlo como estaba

                  disa netWORK servICE httpd
                  set network service httpd socket 80 close_active_connections true
                  ena netWORK servICE httpd

                  • Cerrado

                    BocaDePez BocaDePez
                    6
                    si es que el problema es que filtra lo que le da la gana y…

                    si es que el problema es que filtra lo que le da la gana y como le da la gana.

                    Y el caso es que no es problema ni del testeador que uso ni del proxi de telefonica, porque pruebo cada configuración con tres testeadores o cuatro distintos.

                    P.

                    ---ver la siguiente contestación---

            • Cerrado

              - si no, ¿cómo cambio el atm:1 ese para que use el…

              - si no, ¿cómo cambio el atm:1 ese para que use el INRSInternet.FLT?
              - ¿o es que me toca hacer copia de INRSInternet.FLT como INWAN.FLT?

              No cambies nada, vas a usar el mismo filtro para todo el tráfico? a ver... me explico, la vc tu tienes 1, pero puedes tener 4 o 5 o x, y te puede tener interesar tener un filtro para cada una de ellas, por eso lo asocias a la vc.

              Si quieres aplicar el mismo filtro para todas las vc, se lo asocias al interface atm con l oque se aplicaría a todas.

              Si quieres que desaparezca haz:
              set int atm:1 input

              (lo dejas en blanco, es decir no pones nombre del filtro y desasigna el filtro).

              En cuanto lo de inat
              set vc [nombre de la vc] intell disa
              Eso lo desactiva si lo tienes activado, puedes ver si tienes activado con un sh vc [nombre de la vc] en una línea del chorro de cosas que suelta: Intelligent PAT Option: DISABLED

              Y más cosas, sobre que funcione o no funcionen los filtros, haz una cosa.
              Ponlos uno a uno, y ve probando, primero el que filtra del 1080 para abajo... etc. Seguramente sea que tienes más de 10 filtros (lo que comentaba antes).

              Saludos.