Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
37 lecturas y 9 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Tests de puertos -> cerrados

    Hola a todos,

    tengo una duda con este router que os pregunto a continuación:

    si realizo un test de puertos en grc.com (shieldsup) dicho test me detecta los puertos genéricos como cerrados. No lo entiendo porque entre otros tengo un filtro para el tráfico procedente de internet que descarta los paquetes dirigidos a la Ip pública .. por tanto deberían aparecer como Stealth (sin respuesta) en este test... ¿cierto?

    Sin embargo, si que me aparecen como Stealth los puertos filtrados de forma específica. Por ejemplo, el acceso al puerto 23 (Telnet) y con ip destino la pública lo tengo filtrado específicamente para que sea descartado.. :-?

    Pos nada a ver si me echáis una mano (no al cuello pls) :-P

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
      • Cerrado

        BocaDePez BocaDePez
        6

        Pues eso.... se me olvidaba indicar que la versión del…

        Pues eso.... se me olvidaba indicar que la versión del firmware es la 2.1.5.

        Agurr

      • Cerrado

        BocaDePez BocaDePez
        6

        Ok, pues aquí pongo *todos* los filtros que tengo…

        Ok, pues aquí pongo *todos* los filtros que tengo actualmente. Añado comentario por filtro con la finalidad que 'persigo' por cada uno.

        #filter

        IP:
        # Descartar accesos a ip pública
        [FN=Administrative IP| FI=1| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        1 REJECT DST-ADDR=a.b.c.d;

        # Descartar accesos a puertos de gestión
        [FN=Administrative ports| FI=2| Enabled=no | Type=Adv ]
        {CI=1| Enabled=yes }
        2 REJECT TCP-DST-PORT=23;
        {CI=2| Enabled=yes }
        3 REJECT TCP-DST-PORT=80;

        #Descartar acceso a puerto del mensajero
        [FN=Messaging system| FI=3| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        4 REJECT TCP-DST-PORT=135;
        {CI=2| Enabled=yes }
        5 REJECT UDP-DST-PORT=135;

        # Descartar acceso a gestión por web (independiente)
        [FN=Acceso HTTP| FI=4| Enabled=no | Type=Adv ]
        {CI=1| Enabled=yes }
        6 AND DST-ADDR=a.b.c.d;
        {CI=2| Enabled=yes }
        7 ACCEPT TCP-DST-PORT=80;

        # Permitir accesos SMTP
        [FN=Acceso SMTP| FI=5| Enabled=no | Type=Adv ]
        {CI=1| Enabled=yes }
        8 AND DST-ADDR=a.b.c.d;
        {CI=2| Enabled=yes }
        9 ACCEPT TCP-DST-PORT=25;

        # Descartar acceso a gestión por telnet (independiente)
        [FN=Acceso Telnet| FI=6| Enabled=yes | Type=Adv ]
        {CI=1| Enabled=yes }
        10 AND DST-ADDR=a.b.c.d;
        {CI=2| Enabled=yes }
        11 REJECT TCP-DST-PORT=23;

        # Permitir accesos POP3
        [FN=Acceso POP3| FI=7| Enabled=no | Type=Adv ]
        {CI=1| Enabled=yes }
        12 AND DST-ADDR=a.b.c.d;
        {CI=2| Enabled=yes }
        13 ACCEPT TCP-DST-PORT=110;

        # Filtro por defecto protección netbios
        [FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
        {CI=1| Enabled=yes }
        14 REJECT UDP-DST-PORT=137;
        {CI=2| Enabled=yes }
        15 REJECT UDP-DST-PORT=138;
        {CI=3| Enabled=yes }
        16 REJECT TCP-DST-PORT=139;
        {CI=4| Enabled=yes }
        17 REJECT TCP-DST-PORT=143;

        Nota: evidentemente, a.b.c.d corresponde con mi ip pública.

        Saludos.

        • Cerrado

          Hola, he estado revisando el filtro, y hay una cosa que me…

          Hola, he estado revisando el filtro, y hay una cosa que me pierde, y es, la primera sentencia:

          #filter
          IP:
          # Descartar accesos a ip pública
          [FN=Administrative IP| FI=1| Enabled=yes | Type=Adv ]
          {CI=1| Enabled=yes }
          1 REJECT DST-ADDR=a.b.c.d;

          Con esto, se supone, que cualquier conexión contra tu ip no sea posible, así que por regla de 3, el resto de los filtros serían un tanto inútiles, ya que todo el tráfico de destino va a ir a esa ip, con lo que nadie podría conectar con cualquier servicio que se corriera en el router o cualquier redirección, ej:

          # Descartar accesos a puertos de gestión
          [FN=Administrative ports| FI=2| Enabled=no | Type=Adv ]
          {CI=1| Enabled=yes }
          2 REJECT TCP-DST-PORT=23;
          {CI=2| Enabled=yes }
          3 REJECT TCP-DST-PORT=80;

          #Descartar acceso a puerto del mensajero
          [FN=Messaging system| FI=3| Enabled=yes | Type=Adv ]
          {CI=1| Enabled=yes }
          4 REJECT TCP-DST-PORT=135;
          {CI=2| Enabled=yes }
          5 REJECT UDP-DST-PORT=135;

          Si no pueden conectar con tu ip, por el filtro anterior a la ip, filtrar el 23 y el 80 no tiene mucho sentido, aunque lo tienes desactivdao.

          # Descartar acceso a gestión por web (independiente)
          [FN=Acceso HTTP| FI=4| Enabled=no | Type=Adv ]
          {CI=1| Enabled=yes }
          6 AND DST-ADDR=a.b.c.d;
          {CI=2| Enabled=yes }
          7 ACCEPT TCP-DST-PORT=80;

          # Permitir accesos SMTP
          [FN=Acceso SMTP| FI=5| Enabled=no | Type=Adv ]
          {CI=1| Enabled=yes }
          8 AND DST-ADDR=a.b.c.d;
          {CI=2| Enabled=yes }
          9 ACCEPT TCP-DST-PORT=25;

          # Descartar acceso a gestión por telnet (independiente)
          [FN=Acceso Telnet| FI=6| Enabled=yes | Type=Adv ]
          {CI=1| Enabled=yes }
          10 AND DST-ADDR=a.b.c.d;
          {CI=2| Enabled=yes }
          11 REJECT TCP-DST-PORT=23;

          Los dos primeros estarían bien hechos, pero los tienes desactivados, la sentencia 10 sobra, porque el router la toma por defecto que es todo el tráfico (supongo que esto está asociado al interface atm:1 o en su defecto a la vc.

          # Permitir accesos POP3
          [FN=Acceso POP3| FI=7| Enabled=no | Type=Adv ]
          {CI=1| Enabled=yes }
          12 AND DST-ADDR=a.b.c.d;
          {CI=2| Enabled=yes }
          13 ACCEPT TCP-DST-PORT=110;
          Está bien porque dejas paso a la ip y luego al puerto, aunque también está desactivado.

          # Filtro por defecto protección netbios
          [FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
          {CI=1| Enabled=yes }
          14 REJECT UDP-DST-PORT=137;
          {CI=2| Enabled=yes }
          15 REJECT UDP-DST-PORT=138;
          {CI=3| Enabled=yes }
          16 REJECT TCP-DST-PORT=139;
          {CI=4| Enabled=yes }
          17 REJECT TCP-DST-PORT=143;
          Sin comentarios

          Lo más posible es que con tanta sentencia, acepto trafico/no acepto el router se esté volviendo un poco loco, además yo con + de 10 filtros (sentencias) he tenido problemas (en el manual viene especificado, pero solo hablan de modo consola, pero yo bajo web he tenido problemas:
          Lo que yo haría.

          #filter
          IP:
          #Tráfico que dejo pasar
          1 ACCEPT TCP-DST-PORT=110;

          #Tráfico que no dejo pasar
          2 REJECT DST-ADDR=xxx.xxx.xxx.xxx;
          3 REJECT TCP-DST-PORT=80;
          4 REJECT UDP-DST-PORT=80;

          En primer lugar poner todo el tráfico (puertos, ips que dejas pasar, etc.) y a continuación todo lo que no dejas pasar, puertos... etc...
          El caso es que las condiciones con AND IP y luego puerto, funcionan, pero detecté que los resultados no eran muy óptimos, por eso opté por usar este método.

            • Cerrado

              BocaDePez BocaDePez
              6
              Perdón otra vez... bueno pues a parte de eso he descubierto…

              Perdón otra vez...

              bueno pues a parte de eso he descubierto que Mozilla no funciona demasiado bien con los foros de BandaAncha, cada vez que se inserta un link, un smile, un lo que sea, se refresca la página y se salva la respuesta tal como esté.

              Pues a lo que iba, he realizado las siguientes operaciones:

              - Flash de versión 1.1.9 del firmware.
              - Reconfiguración del router.
              - Activación por web de un único filtro, consistente en rechazar conexiones a la ip de gestión.
              - Los puertos abiertos, se abren desde la configuración de "Remote Sites", de forma que por ejemplo abrir el puerto web pues hay que ir al apartado TCP y redirigir el tráfico al puerto 80 de la máquina correspondiente.

              De esta forma, *TODOS* los puertos, excepto los que se abran de forma explícita, aparecen como Stealth. Incluso se bloquean los pings sobre la IP pública que parece ser que el router se encarga por su cuenta y riesgo de responderlos.

              Si se intentan seguir estas mismas acciones, pero usando la versión 2.1.5, *TODOS* los puertos, excepto los que explícitamente se filtren (en "Setup Filters") y aquellos que estén redireccionados en TCP de "Remote Sites" aparecerán como "Cerrados" o "Abiertos" respectivamente.

              Después de finalizar la reconfiguración, todo funciona correctamente, emule y servicios activos furulan sin problemas.

              No se qué opinaréis por aquí... yo personalmente lo considero un fallo de seguridad, si efectivamente ocurre así y no se me ha pasado nada por alto. Si alguien pudiera probarlo con esta misma versión del firmware pues taría bien :-)

              Pos nada, si alguien opina al contrario que yo pues estaría bien que se hablara del tema....

              Saludos a todos.

              • Cerrado

                ok, yo me tomo nota y lo probare en cuanto ande un poco bien…

                ok, yo me tomo nota y lo probare en cuanto ande un poco bien de tiempo.

                Saludos.

                P.D Lo de mozilla, es cada vez que intentas poner negrita, etc... prueba a no poner el asunto hasta que no termines, cada vez que eso te da un error, y puedes seguir escribiendo, es normal.

          • Cerrado

            BocaDePez BocaDePez
            6
            Hola Joe, primero gracias por tu respuesta. Te contesto por…

            Hola Joe,

            primero gracias por tu respuesta. Te contesto por partes:

            A mi también me pierde, en ese sentido iba mi consulta :-P . Como puedes ver está activada y aún así recibo el tráfico correctamente, tanto a mi servicio web como a los servicios POP/SMTP.


            " y hay una cosa que me pierde, y es, la primera sentencia:"

            • Cerrado

              BocaDePez BocaDePez
              6
              Lo siento, hay veces que se me refresca el navegador y lo que…

              Lo siento, hay veces que se me refresca el navegador y lo que estuviera respondiendo se salva tal cual.

              decía que el resto de servicios me funcionan correctamente aún teniendo el primer filtro sobre mi ip pública activo.

              El que haya tantos filtros 'duplicados' o que hacen más o menos lo mismo pero de formas diferentes es debido a la realización de pruebas; como me descuadraba que con la primera regla no ocurriera lo que yo esperaba pues intenté localizar los problemas de forma más localizada. El caso es que los filtros sobre los puertos de gestión funcionan correctamente porque aparecen como Stealth en el test de puertos :-?

              Después de mis impresiones sobre tus comentarios te indico que intenté implementar los filtros tal como me indicas. No me ha sido posible hacerlo mediante web porque aunque el primero (tráfico permitido) me deja realizarlo sin problemas, la creación de una nueva regla posterior la realiza con la opción "Permitir tráfico" (forward ....) activada (sin combo desplegable) y no me deja cambiarla :-o . Así pues no me quedó más remedio que implementarla mediante tftp.

              Pues después de subirla, activarla y todo ese rollo que se indica en el manual resulta que obtengo los mismos resultados que con los filtros previos: puertos de gestión Stealth, los abiertos aparecen como abiertos (servicios) y el resto, Closed.

              En fin.... que este router está parido con el culo como he leído en algún sitio :-D

              Lo dicho, gracias por la respuesta. Si se te ocurre algo pues lo miro a ver, pero creo que no vamos a sacar mucho más. ¿Tu has conseguido realmente 'asegurar' los puertos ? es decir, que te aparezcan como Stealth aquellos no abiertos específicamente. (mis pruebas las realizo en )

              Un saludo.
              grc.com