ADSL

Template del firmware 4.2.5 del Thomson ST 510

joanquro 13 febrero 2004 00:50

⋮

Quisiera saber si alguien se ha estudiado las reglas de firewall de este template. Aunque no soy ningún experto en networking y firewalls, veo alguna que otra regla que me mosquea. Por ejemplo ésta:

rule create chain=sink index=4 src=217.196.1.140 action=accept

esto parece que acepte conexiones de todo tipo desde esa ip.

haciendo un nslookup de esa ip, vemos que corresponde al siguiente servidor: marge.dslshop.co.uk

¿qué significa esto?

A ver si alguien que entienda de reglas de firewall puede echarles un vistazo y ver si son realmente necesarias.

De todas maneras, yo ya he cargado el firmware y por cierto, que va bien y es mucho más completo el manejo del router via browser, ya sólo falta poder manejar el firewall también con el browser.

Saludos.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

Poloso 13 febrero 2004 01:09

⋮

Significa exactamente lo que sospechas: que esa regla permite conectarse a la ip que contiene.

La configuración de los routers de telefónica usa el mismo sistema, solo que en vez de una ip dejan puertas abiertas a rangos de ips (que casualmente son de telefónica). Puedes borrar esa regla sin miedo.

nejo 13 febrero 2004 01:09

⋮

Es la página de Thomson en el Reino Unido puede ser una página para actualizar firmwares. De todas maneras, hay un template que te pregunta que si quieres asistencia remota desde esa ip, no creo que sea nada peligroso, pero imagino que por tranquilidad pones la ip como 0.0.0.0 y ya no debería de haber problemas.

Un saludo.

un0mas 13 febrero 2004 01:26

⋮

Antes de nada decir que siempre me hace mucha gracia cosas como browser (navegador) , firewall( cortafuegos) y networking (redes), ¡¡si es que suenan mas faciles en castellano!!
Ya copié aqui hace tiempo unas reglas que me habia currado para intentar sacar un poco de rendimiento al cortafuegos por hardware ( esta no es tan traducible ) del router ( tampoco ), os copio la parte de mi configuración, los puertos que dejo pasar son puertos que tambien hay que abrir por NAT (doble mapeado) y que los necesito en mi caso para emule, shareaza, messenger, bittorent y demás.
Son para el firmware ( otra chunga de traducir) 4.0.2.0.0 asi que no sé si valen para el nuevo:

[ pfirewall.ini ]
chain create chain="sink"
chain create chain="forward"
chain create chain="source"
rule create chain=sink index=0 srcintf="eth0" srcbridgeport=!1 action=drop
rule create chain=sink index=1 srcintfgrp=!wan action=accept
rule create chain=sink index=2 prot=udp dstport=dns action=accept
rule create chain=sink index=3 prot=udp dstport=bootpc action=accept
rule create chain=sink index=4 srcintf="eth0" prot=udp dstport=tftp action=drop
rule create chain=sink index=5 prot=icmp action=accept
rule create chain=sink index=6 action=drop
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
rule create chain=forward index=1 srcintfgrp=wan prot=udp srcport=dns action=accept
rule create chain=forward index=2 srcintfgrp=lan prot=udp dstport=dns action=accept
rule create chain=forward index=3 prot=icmp action=accept
rule create chain=forward index=4 srcintfgrp=wan prot=tcp dstport=0 dstportend=1024 action=drop
rule create chain=forward index=5 srcintfgrp=lan prot=tcp srcport=1025 srcportend=10000 action=accept
rule create chain=forward index=6 srcintfgrp=lan prot=udp srcport=1025 srcportend=10000 action=accept
rule create chain=forward index=7 srcintfgrp=wan prot=udp dstport=7777 action=accept
rule create chain=forward index=8 srcintfgrp=wan prot=tcp dstport=7762 action=accept
rule create chain=forward index=9 srcintfgrp=wan prot=tcp dstport=7777 action=accept
rule create chain=forward index=10 srcintfgrp=wan prot=tcp dstport=6892 action=accept
rule create chain=forward index=11 srcintfgrp=wan prot=tcp dstport=6891 action=accept
rule create chain=forward index=12 srcintfgrp=wan prot=tcp dstport=6346 action=accept
rule create chain=forward index=13 srcintfgrp=wan prot=udp dstport=4673 action=accept
rule create chain=forward index=14 srcintfgrp=wan prot=tcp dstport=2234 action=accept
rule create chain=forward index=15 srcintfgrp=wan prot=tcp dstport=1214 action=accept
rule create chain=forward index=16 srcintfgrp=wan prot=tcp dstport=6882 action=accept
rule create chain=forward index=17 srcintfgrp=wan prot=tcp dstport=6881 action=accept
rule create chain=forward index=18 srcintfgrp=wan prot=tcp ack=yes srcport=ftp action=accept
rule create chain=forward index=19 srcintfgrp=wan prot=tcp srcport=ftp-data action=accept
rule create chain=forward index=20 srcintfgrp=wan prot=tcp ack=yes dstport=1024 dstportend=10000 action=accept
rule create chain=forward index=21 action=drop
rule create chain=source index=0 dstintfgrp=!wan action=accept
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=bootps action=accept
rule create chain=source index=3 prot=icmp icmptype=echo-request action=accept
rule create chain=source index=4 prot=icmp icmptype=echo-reply action=accept
rule create chain=source index=5 prot=icmp icmptype=destination-unreachable action=accept
rule create chain=source index=6 prot=icmp icmptype=time-exceeded action=accept
rule create chain=source index=7 action=drop
assign hook=sink chain="sink"
assign hook=forward chain="forward"
assign hook=source chain="source"

✖

joanquro 13 febrero 2004 09:35 ✎

⋮

..sería genial que, ya que pareces dominar bastante sobre este tema, explicases un poco cómo funcionan estas reglas, al menos las más importantes, para que todos los del foro podamos modificarlas a nuestro gusto o crear nuevas reglas que nos vengan bien.

Por ejemplo podrías explicar qué significa lo de hook, sink, source, etc.

Venga hombre, haz un esfuerzo y nos explicas cómo van!!

Gracias y un saludote.

joanquro 13 febrero 2004 09:41

⋮

¿Hay alguna manera de crear un fichero de texto con las reglas y cargarlo de golpe machacando la configuración del cortafuegos existente?

Pero sin cargarse el resto de la configuración, claro ;-)

Hasta luego.

✖

un0mas 13 febrero 2004 14:41

⋮

Son reglas que a mi me funcionan y proporcionan una seguridad fisica que el router permite gestionar. Las he ido ajustando a mis necesidades chapandome el tutorial y foros siguientes:
sdharris.com/speedtouch510/

sdharris.com/speedtouch510/forum/

Los apartados sink y source no afectan al trafico por internet, son para el trafico del router hacia en interior ( ips internas).
El trafico que sale y entra a internet se gestiona mediante el conjunto de reglas forward, ahí es donde cada uno puede gestionar que puertos abrir, cerrar, trafico interno y externo permitir o negar.... permite controlar protocolos, puertos, rangos de ip, etiquetas tcp etc...
Es un cortafuegos fisico ( buena traduccion de hardware) bastante configurable y potente, la pena es que no se puede gestionar con el navegador.
La forma de cargar mis reglas o las que querais es hacerse una copia de seguridad (Backup) de la configuración, sustituir la parte de [ pfirewall.ini ] por la mia y luego subir la configuracion (Upload), todo esto si se puede hace con el navegador.