BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL/VDSL

Tests de puertos -> cerrados

1
BocaDePez
BocaDePez

Hola a todos,

tengo una duda con este router que os pregunto a continuación:

si realizo un test de puertos en grc.com (shieldsup) dicho test me detecta los puertos genéricos como cerrados. No lo entiendo porque entre otros tengo un filtro para el tráfico procedente de internet que descarta los paquetes dirigidos a la Ip pública .. por tanto deberían aparecer como Stealth (sin respuesta) en este test... ¿cierto?

Sin embargo, si que me aparecen como Stealth los puertos filtrados de forma específica. Por ejemplo, el acceso al puerto 23 (Telnet) y con ip destino la pública lo tengo filtrado específicamente para que sea descartado.. :-?

Pos nada a ver si me echáis una mano (no al cuello pls) :-P

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
JoeDalton

vamos... que pongas el filtro que tienes para ver qué hace exáctamente.

🗨️ 8
BocaDePez
BocaDePez

Ok, pues aquí pongo *todos* los filtros que tengo actualmente. Añado comentario por filtro con la finalidad que 'persigo' por cada uno.

#filter

IP:
# Descartar accesos a ip pública
[FN=Administrative IP| FI=1| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
1 REJECT DST-ADDR=a.b.c.d;

# Descartar accesos a puertos de gestión
[FN=Administrative ports| FI=2| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
2 REJECT TCP-DST-PORT=23;
{CI=2| Enabled=yes }
3 REJECT TCP-DST-PORT=80;

#Descartar acceso a puerto del mensajero
[FN=Messaging system| FI=3| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
4 REJECT TCP-DST-PORT=135;
{CI=2| Enabled=yes }
5 REJECT UDP-DST-PORT=135;

# Descartar acceso a gestión por web (independiente)
[FN=Acceso HTTP| FI=4| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
6 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
7 ACCEPT TCP-DST-PORT=80;

# Permitir accesos SMTP
[FN=Acceso SMTP| FI=5| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
8 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
9 ACCEPT TCP-DST-PORT=25;

# Descartar acceso a gestión por telnet (independiente)
[FN=Acceso Telnet| FI=6| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
10 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
11 REJECT TCP-DST-PORT=23;

# Permitir accesos POP3
[FN=Acceso POP3| FI=7| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
12 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
13 ACCEPT TCP-DST-PORT=110;

# Filtro por defecto protección netbios
[FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
{CI=1| Enabled=yes }
14 REJECT UDP-DST-PORT=137;
{CI=2| Enabled=yes }
15 REJECT UDP-DST-PORT=138;
{CI=3| Enabled=yes }
16 REJECT TCP-DST-PORT=139;
{CI=4| Enabled=yes }
17 REJECT TCP-DST-PORT=143;

Nota: evidentemente, a.b.c.d corresponde con mi ip pública.

Saludos.

🗨️ 6
JoeDalton

Hola, he estado revisando el filtro, y hay una cosa que me pierde, y es, la primera sentencia:

#filter
IP:
# Descartar accesos a ip pública
[FN=Administrative IP| FI=1| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
1 REJECT DST-ADDR=a.b.c.d;

Con esto, se supone, que cualquier conexión contra tu ip no sea posible, así que por regla de 3, el resto de los filtros serían un tanto inútiles, ya que todo el tráfico de destino va a ir a esa ip, con lo que nadie podría conectar con cualquier servicio que se corriera en el router o cualquier redirección, ej:

# Descartar accesos a puertos de gestión
[FN=Administrative ports| FI=2| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
2 REJECT TCP-DST-PORT=23;
{CI=2| Enabled=yes }
3 REJECT TCP-DST-PORT=80;

#Descartar acceso a puerto del mensajero
[FN=Messaging system| FI=3| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
4 REJECT TCP-DST-PORT=135;
{CI=2| Enabled=yes }
5 REJECT UDP-DST-PORT=135;

Si no pueden conectar con tu ip, por el filtro anterior a la ip, filtrar el 23 y el 80 no tiene mucho sentido, aunque lo tienes desactivdao.

# Descartar acceso a gestión por web (independiente)
[FN=Acceso HTTP| FI=4| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
6 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
7 ACCEPT TCP-DST-PORT=80;

# Permitir accesos SMTP
[FN=Acceso SMTP| FI=5| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
8 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
9 ACCEPT TCP-DST-PORT=25;

# Descartar acceso a gestión por telnet (independiente)
[FN=Acceso Telnet| FI=6| Enabled=yes | Type=Adv ]
{CI=1| Enabled=yes }
10 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
11 REJECT TCP-DST-PORT=23;

Los dos primeros estarían bien hechos, pero los tienes desactivados, la sentencia 10 sobra, porque el router la toma por defecto que es todo el tráfico (supongo que esto está asociado al interface atm:1 o en su defecto a la vc.

# Permitir accesos POP3
[FN=Acceso POP3| FI=7| Enabled=no | Type=Adv ]
{CI=1| Enabled=yes }
12 AND DST-ADDR=a.b.c.d;
{CI=2| Enabled=yes }
13 ACCEPT TCP-DST-PORT=110;
Está bien porque dejas paso a la ip y luego al puerto, aunque también está desactivado.

# Filtro por defecto protección netbios
[FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
{CI=1| Enabled=yes }
14 REJECT UDP-DST-PORT=137;
{CI=2| Enabled=yes }
15 REJECT UDP-DST-PORT=138;
{CI=3| Enabled=yes }
16 REJECT TCP-DST-PORT=139;
{CI=4| Enabled=yes }
17 REJECT TCP-DST-PORT=143;
Sin comentarios

Lo más posible es que con tanta sentencia, acepto trafico/no acepto el router se esté volviendo un poco loco, además yo con + de 10 filtros (sentencias) he tenido problemas (en el manual viene especificado, pero solo hablan de modo consola, pero yo bajo web he tenido problemas:
Lo que yo haría.

#filter
IP:
#Tráfico que dejo pasar
1 ACCEPT TCP-DST-PORT=110;

#Tráfico que no dejo pasar
2 REJECT DST-ADDR=xxx.xxx.xxx.xxx;
3 REJECT TCP-DST-PORT=80;
4 REJECT UDP-DST-PORT=80;

En primer lugar poner todo el tráfico (puertos, ips que dejas pasar, etc.) y a continuación todo lo que no dejas pasar, puertos... etc...
El caso es que las condiciones con AND IP y luego puerto, funcionan, pero detecté que los resultados no eran muy óptimos, por eso opté por usar este método.

🗨️ 5
BocaDePez
BocaDePez

Hola Joe,

primero gracias por tu respuesta. Te contesto por partes:

A mi también me pierde, en ese sentido iba mi consulta :-P . Como puedes ver está activada y aún así recibo el tráfico correctamente, tanto a mi servicio web como a los servicios POP/SMTP.


" y hay una cosa que me pierde, y es, la primera sentencia:"

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Hola Joe de nuevo.

Después de pegarme unas cuantas horas con ello he logrado conseguir lo que perseguía:

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez

Pues eso.... se me olvidaba indicar que la versión del firmware es la 2.1.5.

Agurr

1