Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
40 lecturas y 12 respuestas
  • Cerrado

    Una preguntilla para Joe_Dalton, Shark.

    Gracias a vosotros he aprendido bastante sobre este router.
    Hace un tiempo os pregunte para poder hacer ping desde mi ordenador pero cerrando cuando me hacen un ping a mi.

    me digisteis que pusiera esto:

    Discard Packet if IP Protocol is Equal to ICMP
    Or Origin Data, Offset 0, Length 1, Masked with 0xFF is Equal to 0x 08

    Este filtro lo tengo en From Remote Site.

    Pues la verdad es que no me funciona, no consigo hacer ping´s, pero eso si desde fuera tampoco que es lo que quiero.

    ¿como podria hacer ping sin que me lo hagan?, ¿esta mal el filtro?, ¿que falla?

    Una ayudita queridos amigos.

    Os adjunto una captura del filtro, porque mas que le doy vueltas lo veo tal como me lo dijisteis. (mirar

    AQUI )

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 6/09/03 18:04]

      No se si el interfaz gráfico te ha jugado una mala pasada...…

      No se si el interfaz gráfico te ha jugado una mala pasada... pero ahí aparece como un or... dónde debería de haber un and...

      Discard Packet if IP Protocol is Equal to ICMP
      Or Origin Data, Offset 0, Length 1, Masked with 0xFF is Equal to 0x 08

      Si puedes pega el fichero INRSinternet.FLT sacado por tftp.

      El filtro por CLI debería de ser lo siguiente:

      #filter
      IP:
      1 AND PROTOCOL=ICMP;
      2 REJECT GENERIC=>origin = DATA/offset = 0/length = 1/mask = 0xFF/value = 0x08;

      y otra anotación... en el filtro que hizo shark (el mismo que posteo yo arriba) filtra todo el tráfico icmp que cuyo valor sea igual o mayor que trafico icmp de tipo 8.

      en este enlace tienes los tipos de tráfico icmp:
      http://www.rfc-es.org/rfc/rfc0792-es.txt
      http://www.thesolutionfirm.com/icmp.pdf

      De todas formas comprueba el dato del and/or que puede estar ahí

      Saludos Onjoe.

      • Cerrado

        Joder tio llevo toda la tarde para poder poner el filtro, te…

        Joder tio llevo toda la tarde para poder poner el filtro, te cuento.

        No soy capaz de meterlo, la primera condicion "Discard Packet if IP Protocol is Equal to ICMP" no hay problema pero al meter la segunda condicion meto ESTO (mira haber si hay algun fallo) me da este ERROR .

        Me acuerdo que la ultima vez que consegui meterlo ya hace bastante tiempo tambien me ocurria lo mismo pero al final lo solucione y no me acuerdo como, (tengo el firewall quitado), haber si tu puedes saber que es lo que pasa.

        Luego he intentado meterlo por el Programa 3Com812Manager y el muy puñetero me daba un error y me ha borrado TODOS los filtros, en fin que los vuelvo a meter uno a uno y que a veces despues de meter un filtro me perdia la conexion a internet ,no porque estubiera reiniciando, se me quedaba pillao, pero bueno al final con paciencia he vuelto a meter los filtros.

        Despues de meter los filtros me paso por el escaneo online de ShieldsUP y tras el escaneo yo juraria que antes los puertos que no habia metido en los filtros me salian en Stealth y ahora me salen el closed. Miratelo
        ¿es asi y se me ha ido la pelota o deberia ser al reves?

        En fin, que muchas gracias por tu paciencia y haber si me hechas un cable que ya ni me aclaro.

        • Cerrado

          simple... al meter los datos ff y 08, no le pongas el 0xff y…

          simple...
          al meter los datos ff y 08, no le pongas el 0xff y 0x08 así representa el interfaz grafico que es en formato hexadecimal (0x valor) tu tienes que poner ff y en el otro 08 (es lo mismo que te pasó la otra vez).

          El que aparezcan los puertos como closed y no sthealt, te digo lo mismo que dije a otro que preguntaba (mirate entre esta y la 2ª hoja de este mismo foro, ahora no recuerdo el título pero iba de filtros nat y la madre del cordero). Lo que yo probé y lo que yo estuve observando, es que con 2 routers, con firmwares 1.1.9 y otro con 2.1.5, el comportamiento era el mismo (con lo que ya descarto el tema de bug en el firmware), también lo que observé, es que si yo tengo desactivado iNAT (o iPAT), y tengo filtrado un rango de puertos, esos puertos me aparecen como cerrados (a excepción del 80 y 23 que me salían sthealt, y si modificaba un servicio a otro puerto, por ej, el http al puerto 500 por ej) el que se me ponía sthealt era el 500, si tú activas iNAT (o iPAT), la cosa cambia... se te ponen todos los puertos filtrados en sthealt, así que si comparas la situación, yo deduzco que, si filtro pero no hay servicio corriendo (porque no hay puerto redireccionado o lo que sea) te aparece como closed, y sthealt los puertos que están con un servicio activo (es decir, hay un puerto disponible para conectar y el filtro lo oculta, cosa que no hace si no hay un puerto a la escucha), sin embargo iNAT es una direccionamiento dinámico, con lo que es como si estuvieran todos los puertos abiertos, he ahí por lo que aparecen sthealt. De hecho, si yo configuro el router en monopuesto y aplico un filtro a todo el tráfico entrante, el comportamiento es igual que si tuviera iNAT, con lo que todos los puertos filtrados me aparecen sthealt.

          Esas son mis conclusiones, no se si aclaro algo, si no aclaro nada, pero yo lo entiendo así, si hay alguien que no está de acuerdo que plantee su teoría.

          Saludos.

          • Cerrado

            ¿Entonces en cuanto a seguridad se refiere es mejor tener…

            ¿Entonces en cuanto a seguridad se refiere es mejor tener desactivado iNAT y que salgan en closed la mayoria de puertos a tenerlo activado y que salgan en sthealt?

            Por cierto me puedes recordar como activo y desactivo iNAT, no lo encuentro entre tanto post, se que lo has dicho en infinidad de mensajes, pero corto que es uno.

            Ya me funciona el filtro a las mil maravillas, te estare eternamente agradecido.

            • Cerrado

              set vc nombre de la vc intell disa generalmente vendría a ser…

              set vc nombre de la vc intell disa

              generalmente vendría a ser algo tal y como:

              set vc internet intell disa

              Yo personalmente prefiero tener desactivado inat, ya que redirecciona puertos aleatoriamente, se supone que nat ya hace de filtro en si, porque no permite que ninguna conexión desde fuera llegue hasta tu máquina, cosa que con inat se rompe por completo, de hecho, no es que esté demás filtrar tráfico, pero si tu desactivas todos tus filtros y te haces un scan de puertos, sólo apareceran activos los del router (suponiendo que no haya ninguna redireccion y no tengas ningun puerto activo) http y telnet (si los desactivas no aparecería nada) con lo cual poner un filtro... pues no tendría mucho sentido, se supone que esta seguridad lo aporta nat.

              yo lo tengo medianamente claro... una redirección dinámica.. a no ser que fuera necesaria, yo no la utilizaría... así como sí utilizaría nat, y filtraría puertos conflictivos, trafico icmp, y demás y abriría yo los puertos que crea oportunos y siempre teniendo actualizadas las aplicaciones que corren los servicios detrás del router.

              Saludos.

              • Cerrado

                Hola Joe_Dalton aqui estoy de nuevo con el Maldito filtro del…

                Hola Joe_Dalton aqui estoy de nuevo con el Maldito filtro del ping te cuento.

                Como te comente el filtro me funcionaba bien, pues el otro dia me dispongo a hacer un misero ping a www.terra.es para ver como andaba para hecharme una partidilla y pufffffff de nuevo no funciona, miro por web el filtro y hay estaba mi querido OR en vez del que puse el AND, pues nada vuelvo a hacer el filtro esta vez me busco un Notario que certifique que pongo el and , salvo el filtro, salvo configuracion, miro el filtro por si acaso y el notario levanta acta que esta el and todavia, pues reinicio el router y tachan ¡¡¡¡¡ se cambia al OR

                ¿me podrias decir como hacer este filtro por terminal?, me conecto con el programa ADSLNet 3Com 812 Manager por telnet, ya que por cable serie tengo un pequeño gran problema que ya te contare.

                Una vez mas gracias, y espero que de una vez por todas consiga meter el susodicho filtro y haber ahora quien me indemniza la pasta del notario ;-)

                • Cerrado

                  se me olvidaba decir... que lo del and/or es un bug en la…

                  se me olvidaba decir... que lo del and/or es un bug en la forma de visualizarlo, una vez que reinicias el router, se le va la pinza y los and los muestra como or, aunque luego el filtro esté bien y se comporte como tal, es un problema del interface gráfico.

                  • Cerrado

                    Comentas que es un fallo del interface grafico pero que…

                    Comentas que es un fallo del interface grafico pero que aunque ponga OR despues del reinicio hace la funcion del AND, pues esto a mi no me pasa, el filtro deja de funcionar y no puedo hacer ping´s de salida como antes de reiniciar, osea que SI que se convierte en OR y SI hace funcion de OR.

                    Agradezco tu respuesta, pero me gustaria meter el filtro por cli o linea de comados por telnet , no por el tft (mis experiencias fueron traumaticas) no se si te seria mucha molestia ponerme como.

                    Muy agradecido, y espero no sea mucha molestia. Gracias.

                    • Cerrado

                      usa el comando desde telnet o consola, para generar el…

                      usa el comando desde telnet o consola, para generar el archivo:

                      capture text_file filtro.FLT

                      es un editor de texto, introduce el filtro, tal y como lo he puesto en el otro post, para terminar CTRL+D.
                      Esto sustituye a los pasos de crear el filtro en el pc con un editor, y a subirlo por tftp.
                      El resto es igual.

                      • Cerrado

                        [Editado 18/09/03 23:02]

                        De primeras quiero darte las gracias por tu gran ayuda. Y…

                        De primeras quiero darte las gracias por tu gran ayuda.

                        Y quiero comentarte que despues de trastear con los filtros me he dado cuenta que si tienes un filtro con "AND" y no quieres que se te cambie a "OR" despues del reinicio, (creados por web), no se debe hacer ningun filtro que contenga un "OR".

                        He creado todos mi filtros de 1 en 1, incluido el "Protectec files and printers" SIN tener condiciones "OR" solamente el famoso ping con su "AND" y no se cambia ni apagando el router.

                        Te lo comento porque creo igual te interesa conocer este Bug, aunque igual ya lo conocias.

                        Enga un saludo y de nuevo gracias por todo.

                        • Cerrado

                          No, no lo conocía, pero gracias por el comentario, lo tengo…

                          No, no lo conocía, pero gracias por el comentario, lo tengo en cuenta, nunca está de más saberlo, pero si te digo la verdad, desde que empecé a manejar los filtros con el cli, el formato web para mi no existe...

                          Saludos.

                • Cerrado

                  Create un archivo que se llame: filtro.FLT (por ej) que…

                  Create un archivo que se llame: filtro.FLT (por ej) que contenga esto:

                  #filter
                  IP:
                  1 AND PROTOCOL=ICMP;
                  2 REJECT GENERIC=>origin = DATA/offset = 0/length = 1/mask = 0xFF/value = 0x08;

                  Subelo por tftp al router.
                  tftp ip_del_router put filtro.FLT

                  Añadelo a la lista de filtros.
                  add filter filtro.FLT

                  Asignalo a la vc.
                  set vc nombre_de_la_vc input filtro.FLT

                  normalmente el nombre de la vc es internet, o wan o similar:
                  set vc internet input filtro.FLT

                  O bien puedes asignarlo a un interface en este caso sería el atm.

                  set int atm:1 input filtro.FLT

                  Saludos.