Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
45 lecturas y 9 respuestas
  • Cerrado

    [Editado 5/04/06 23:08]

    Puertos en el 536 que se abren solos?

    Hola a todos, con el firmware 302-c02-rc4 al encender el router aparecen las iptables limpias, pero al cabo de un ratito esto es lo que se me configura solo.

    ACCEPT all -- anywhere anywhere state RELATED,ESTAB
    LISHED
    ACCEPT tcp -- anywhere anywhere tcp dpts:1863:1864
    ACCEPT tcp -- anywhere anywhere tcp dpt:4443
    ACCEPT tcp -- anywhere anywhere tcp dpt:5190
    ACCEPT tcp -- anywhere anywhere tcp dpt:5566
    ACCEPT tcp -- anywhere anywhere tcp dpts:40000:4009
    9
    LOG tcp -- anywhere anywhere tcp flags:SYN,RST,A
    CK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
    DROP all -- anywhere anywhere

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT udp -- anywhere 192.168.1.2 udp dpt:3440
    ACCEPT udp -- anywhere 192.168.1.2 udp dpt:3493
    ACCEPT udp -- anywhere 192.168.1.2 udp dpt:7000
    ACCEPT udp -- anywhere 192.168.1.2 udp dpt:4000
    ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:3999
    TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
    YN TCPMSS clamp to PMTU
    TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
    YN TCPMSS clamp to PMTU
    ACCEPT all -- anywhere anywhere state RELATED,ESTAB
    LISHED
    LOG tcp -- anywhere anywhere tcp flags:SYN,RST,A
    CK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
    DROP all -- anywhere anywhere
    DROP tcp -- anywhere anywhere tcp dpt:smtp
    DROP udp -- anywhere anywhere udp dpt:25

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    El caso es que los puertos se abren en la cadena INPUT por lo tanto es que esos puertos estan abiertos en direcion al pc o se quedan en el router?

    ¿Acaso estas reglas son creadas en funcion de las conexiones salientes que se hacen?, no lo creo asi ya que reiniciando el router aparecen los mismos puertos abiertos.

    Ahora me gustaria abrir un hilo para los mas nuevos en esto de las iptables como uno, para que podamos configurar y modificar las reglas de una manera optima.
    Asi que si es posible y si alguno de vosotros tiene reglas iptables personalizadas le agradeceria que postease un "iptables -L" de su configuracion para el aprendizaje de muchos, y tambien que fueseis capaces de usar solo las iptables usando nuevas cadenas y demas info para filtrar todo tipo de paquetes, que digais si nuevas reglas pueden ser grabadas y que permanezcan el router despues de encender y apagar el router etc....
    Es claro que hay un gran desconocimiento por parte de los usuarios acerca de las iptables de sus routers y cualquier ayuda referente sobre las mismas seran bienvenidas..

    Y por cierto el comando de iptables no aparece al escribir el signo "?" a traves de el telnet por lo que es posible que haya mas comandos que se puedan usar...¿cuales son?, ¿como puedo ver el sistema de ficheros de el router? etc...
    Tambien al hacer un ps aparecen procesos aprentemente no necesarios para un funcionamiento normal para usuarios novatos, ¿como se pueden deshabilitar los procesos para que no se carguen en el arranque del router?

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 5/04/06 20:53]

      6

      Con cat /proc tienes varios datos.. meminfo, procinfo,…

      Con cat /proc tienes varios datos.. meminfo, procinfo, modules.. otro programa que suelo usar es ebtables.

      Las reglas por defecto que trae son para el helper de voip (que no recuerdo ahora como se llama, siproxy creo) que no tienes activado, y para el reaim, que no se puede desactivar.

      Las reglas obviamente no se guardan al hacer cambios, cada vez que se pierde la conexión hay que poner de nuevo todo.

      si quieres desactivar el reaim tienes que hacer esto:

      iptables -D INPUT -p tcp --dport 1863:1864 -i ppp_8_35_1 -j ACCEPT
      iptables -D INPUT -p tcp --dport 4443 -i ppp_8_35_1 -j ACCEPT
      iptables -D INPUT -p tcp --dport 5190 -i ppp_8_35_1 -j ACCEPT
      iptables -D INPUT -p tcp --dport 5566 -i ppp_8_35_1 -j ACCEPT
      iptables -D INPUT -p tcp --dport 40000:40099 -i ppp_8_35_1 -j ACCEPT
      iptables -t nat -D PREROUTING -i br0 -p tcp --dport 5190 -j REDIRECT --to-ports 5190
      iptables -t nat -D PREROUTING -i br0 -p tcp --dport 1863 -j REDIRECT --to-ports 1863

      y luego mirar en "ps" cual es el PID de reaim y cerrarlo con "kill xxx".. aunque creo que se puede con el nombre directamente.

      A primera vista esa regla que tienes para el puerto 25 no hace nada, prueba iptables -L -n --verbose (y tambien existen las tablas, -t nat y -t mangle)

      • Cerrado

        Gracias por tu informacion pero lo que me inquieta es por que…

        Gracias por tu informacion pero lo que me inquieta es por que se abren esos puertos, y como quitarlo de manera permanente, por que si tengo que hacerlo a mano todo cada vez que reseteo el router, me huele muy mal por parte de jazztel que esos puertos vengan configurados para abrirse por defecto, y lo que es peor de donde salen o donde estan los comandos que abren esos puertos?
        Y referente a lo de la tabla input....llegan o no a dejar pasar conexiones a los puertos del pc?

        • Cerrado

          [Editado 5/04/06 23:32]

          6

          no, input en este caso es el propio router, preocupate más de…

          no, input en este caso es el propio router, preocupate más de la chain forward.

          • Cerrado

            6
            No se puede, al menos con las versiones de firmware que…

            No se puede, al menos con las versiones de firmware que tenemos. Los de USR pusieron una opcion para desactivar el reaim hace bastante poco, pero es comun tenerlo activado sin remedio en casi todos los broadcom, según he visto.

            Supongo que habrás visto esta página: http://www.reaim.org/

            Es un proxy en principio para que funcionen las transferencias detrás de nat sin tocar nada, pero no funciona demasiado bien, al menos con MSN. Ahí puedes ver las reglas genéricas de iptables que son las mismas que se usan para el comtrend. Podrían estar algo más afinadas pero bueno.

            • Cerrado

              por cierto, estuve probando el acceso por web y telnet al…

              por cierto, estuve probando el acceso por web y telnet al router desde el exterior de la LAN y, almenos en la version que tengo yo de firmware, no te deja acceder aunque selecciones "enabled" en la columna WAN del "Access Control" en el menu "Management".

              En cambio, si redireccionas los puertos 80 para web y 23 para telnet en "Virtual Servers" en "NAT" hacia la IP interna del router (por defecto 192.168.1.1), si que te deja acceder entonces, aunque entonces te diga que los puertos para acceder a la interfaz del router pasan de ser el 80 y el 23 a ser el 8080 y el 2323 respectivamente. Ese 8080 y 2323 siguen sin responder. En cambio el 80 y el 23 si que responden, y hay q autentificar con el usuario "support" (el admin desde fuera de la LAN no funciona).

              • Cerrado

                6
                pues no sé, cuando estuve probando a mi sí me funcionaba con…

                pues no sé, cuando estuve probando a mi sí me funcionaba con tenerlos marcados en WAN..