Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
126 lecturas y 11 respuestas
  • Cerrado

    puertos closed, no stealth

    Buenas
    lo primero, es que llevo bastante buscando, por google y por este foro (he llegado hasta la pagina 25) y no he visto nada que me resuelva la duda. Tengo el router desde hace poco, y antes tenia el Zyxel Prestige. El caso es que en el zyxel, ponia todos los puertos mapeados a una IP inexistente en mi LAN, por lo que desde fuera no producían respuesta, quedando como stealth.
    Pero con este router, al poner default workstation a una IP inexistente en mi LAN, me da algunos Stealth (los que vienen filtrados, y no todos los q estan filtrados :-? ) y el resto closed, lo que indica que algo les responde :-(
    ¿Me podríais decir porque es esto? Es que no acabo de entenderlo
    ¿Y algún modo de solucionarlo? Muchas gracias
    Un saludo

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      Yo experimenté bastante con esto... :P Básicamente, cuando no…

      Yo experimenté bastante con esto... :P

      Básicamente, cuando no tienes puesto el default hacia ninguna IP te deberían salir todos como closed, menos los servicios del router (léase web 80, telnet 23, y no estoy seguro pero quizá vpn 1723 y tftp 69 también salgan como abiertos) y los que tengas redireccionados, que dependerán de si tienes firewall en ese ordenador etc etc. Este es el comportamiento normal del router, devuelve que un puerto está cerrado por defecto. Para que te saliera stealth en este caso habría que hacer filtros para tráfico entrante, que si no recuerdo mal en la conversación que se cita fue complicado que funcionara.. si llegó a funcionar, que no me acuerdo.

      Ahora, si pones el default a una IP interna inexistente todos te deberían salir como stealth, excepto los que he dicho anteriormente que son servicios del router (80 y 23). Esto está pensado, me imagino, para que aunque tengas el default workstation a una ip determinada puedas seguir accediendo a los servicios del router desde fuera. Esto es como si tuviera por defecto un "PAT Static Port" a la IP interna del router, ya que si por ejemplo, cambias de puerto los servicios del router, entonces necesitas mapear el puerto nuevo a la IP interna del router o no funcionará, y el 23 y el 80 saldrán como closed (cuidado, no stealth, por lo de la regla por defecto que he dicho antes... En resumen, en estos puertos, los redireccionamientos manuales tienen preferencia sobre el automático, y el automático tiene preferencia sobre el default workstation).

      Y ya me estoy rayando con explicaciones que sobran.. en fin, ya no sé ni qué he escrito. Espero que te aclare algo :P Ah, por cierto, lo que he dicho es válido para cuando Intelligent NAT/PAT _disabled_.

      saludos,

      pd: soy Luke sin loggear

      • Cerrado

        q es exactamente el PAT, y como lo desactivo? Porque esa…

        q es exactamente el PAT, y como lo desactivo? Porque esa opcion no la veo en el router. Se lo que es NAT, pero no PAT, es lo mismo?
        Ahora mismo, sin saber si tengo eso activado o no, tengo en default workstation una IP inexistente,con la esperanza de que los puertos esten stealth, pero nada, closed, y es algo q no me gusta nada, claro esta.
        Y ya casi me pongo a llorar cuando hoy, probando por primera vez el amule, me da ID alta con los puertos por defecto, cuando en el router no los tenia abiertos :S
        En fin,muchas gracias a todos, pero sigo siendo un mar de dudas :-P

        • Cerrado

          [Editado 23/02/04 10:22]

          acabo de ver que PAT es port address translation, o iNAT.…

          acabo de ver que PAT es port address translation, o iNAT. consiste este en que en q el router redirije un puerto exterior, por ejemplo el 12334, a uno interior distinto , como el 6789? Y para deshabilitarlo, solo se puede por linea de comandos, no?
          Muchas gracias, un saludo

          Editado. Bueno, ya encontre las respuestas a las preguntas de como deshabilitarlo. Pero sigo sin entender en que consiste exactamaente el iNAT, a ver si alguien me lo puede explicar. Gracias por adelantado

          • Cerrado

            6
            Básicamente, es una opción que tiene este router que hace que…

            Básicamente, es una opción que tiene este router que hace que el router sea capaz de abrir ciertos puertos dinámicamente, en ciertas condiciones. Esto hace que no sea necesario redireccionar puertos en algunas situaciones.. pero hace todo bastante más inseguro. Por ejemplo, lo que te pasó del emule.. con iNAT desactivado no pasaría nunca. Normalmente salta cuando has realizado una conexión a una IP determinada, y no mucho después esa misma IP te hace una conexión entrante, pues el router abre dinámicamente ese puerto para que vaya al PC interno que había realizado la conexión anteriormente. O sea, algo así como "yo a este le conozco y estuvo hablando con tal, entonces esto irá para tal también."

            Ahora con iNAT desactivado y el default a una IP interna inexistente te deberían salir todos en stealth menos los que tengas redirigidos y los servicios del router, me equivoco?

            Y ya te han contestado, pero PAT es como se llama a NAT a partir de la firmware 2.0.0. :P

            saludos,

    • Cerrado

      [Editado 19/02/04 00:54]

      Siempre es más recomendable que los puertos sean blocked…

      Siempre es más recomendable que los puertos sean blocked (stealthed) en vez de closed. Lo más importante es que desactives el intelligent NAT del 3Com 812 y que pongas filtros en el puerto 80 (web), 23 (telnet) y 69 (tftp) para que estos no sean accesibles desde el exterior.
      Personalmente, y en el caso de la empresa donde trabajo (una pyme) soy partidario de tener el servicio web y el correo externo a la empresa por temas de seguridad.

      Saludos,
      Josep

      PD: Durante mucho tiempo he tenido el acceso telnet al router desde el exterior sin problemas, eso si, con el usuario y contraseña cambiados, y no el que viene por defecto ni el de Telefónica. El servicio Web tenía un defecto en cierta versión del firmware, yo opté por desabilitarlo en vez de actualizar de firmware.

      Comprobación rápida de seguridad: http://scan.sygate.com/quickscan.html
      Guía de configuración: http://www.miliuco.net/docs/Router%203Com%20812.html

      A parte de los documentos sobre el 3Com 812 que puedes encontrar en BA, apartado documentos.

    • Cerrado

      Ya se habló de esto hace algún tiempo (no recuerdo y no tengo…

      Ya se habló de esto hace algún tiempo (no recuerdo y no tengo el enlace), pero venía a ser algo así como...
      (en resumen)
      Puerto cerrado sin que hubiera un servicio a la escucha: sthealt
      puerto cerrado con un servicio a la escucha: closed

      Yo hice pruebas en su día. si tu tienes nat (no default pat hacia una ip) y no tienes mapeados puertos, te aparecerían todos como sthealt (si no tienes los servicios de telnet/http corriendo en el router) en vez de como closed, ya que se intenta acceder a un servicio, pero como no hay nada a la escucha detrás, el intento de conexión se muere, sin embargo si hay servicio a la escucha con filtro, la conexión es bloqueada (closed).

      Espero que te sea de ayuda.

      Saludos.

        • Cerrado

          En este sitio podreis comprobar de forma transparente y fácil…

          En este sitio podreis comprobar de forma transparente y fácil lo que se explica:

          http://www.dslreports.com/scan

          Saludos

      • Cerrado

        BocaDePez BocaDePez
        6

        Tal como dice Joe ya se habló hace algún tiempo de ello,…

        Tal como dice Joe ya se habló hace algún tiempo de ello, aunque a mi no me queda clara tampoco la explicación que da él mismo sobre lo del servicio a la escucha.

        La realidad es que en el manual del router se indica claramente que los filtros bloquean el paso de información (según cómo se configuren) y eso parece ser que no se cumple del todo.

        De cualquir forma, la experiencia que yo tengo con este router es la siguiente:

        Con firmwares por debajo de la 2.0 (hasta la 1.9), si se crea un filtro descartando todas las comunicaciones dirigidas a la IP pública del router (suponiendo que se disponga de IP fija) se obtiene como resultado un Stealth como una casa en todos los puertos, excepto aquellos abiertos específicamente en Remote Sites.

        Con firmwares por encima de la 2.0 (a partir de ésta), el stealth, utilizando el filtro indicado, sólo se consigue si no hay ningún puerto abierto en el Remote Sites. En cuanto hubiera uno, el resultado es un Closed en todos los puertos no redireccionados/abiertos.

        Saludos.

      • Cerrado

        Porque si yo pongo todos los puertos por defecto a una IP…

        Porque si yo pongo todos los puertos por defecto a una IP inexistente, no hay ningun servicio a la escucha en esos puertos, y la mayoria me dice que estan closed :-? ¿quien le responde a esos??? Y lo que es peor. Es a los puertos filtrados (80 y demas, que antes de montar el servidor web, quiero seguir haciendo pruebas) los que me dice q son stealth

        En fin, q creo q se me escapa algo, y no lo entiendo
        Muchas gracias, un saludo

        • Cerrado

          Si no voy mal encaminado. Al estar closed se dejan pasar pero…

          Si no voy mal encaminado. Al estar closed se dejan pasar pero no van a ninguna parte si no hay redirección puesta. En cambio en la otra manera llegan los paquetes con ese puerto y se descartan (no se dejan pasar de ninguna manera).