[HACK] filtros ip router speedtream+puertos...

Gonzalo Lopez glm at myrealbox.com
Thu Sep 11 09:17:31 CEST 2003 

El 10 Sep 2003 a las 20:36, backgate escribió:

> Hola, me acabo de hacer con un router speedstream 5660 y estoy trasteando con
> mi adsl, a ver cual es la mejor configuracion para el router y no me aclaro
> mucho sobre los filtros ip... 

[...]

El comando para poner un filtro en un 5660 es "set ipfiltercfg", cuya ayuda 
puedes obtener con "set ipfiltercfg ?" (por supuesto, estoy hablando de una
sesión Telnet de administrador). 

Para empezar, puedes establecer dos sencillas reglas que aislan sobremanera 
tu LAN: 

-permitir entrar segmentos TCP que correspondan a respuestas de conexiones 
iniciadas desde dentro:

Rule Number: 100
 Direction: inbound
 Action: permit
 Source Address/mask: 0.0.0.0/0.0.0.0
 Dest Address/mask: 0.0.0.0/0.0.0.0
 Protocol: tcp (6)
 Any source port
 Any destination port
 Established connections only

-regla por defecto y última: denegar todo tráfico entrante que no esté 
explícitamente permitido por reglas anteriores. 

Rule Number: 999
 Direction: inbound
 Action: deny
 Source Address/mask: 0.0.0.0/0.0.0.0
 Dest Address/mask: 0.0.0.0/0.0.0.0
 Protocol: all

Si en la LAN tienes servicios que deben ser accesibles desde el exterior, 
debes permitir el acceso a los mismos con reglas antes de la 100. Por 
ejemplo, la siguiente regla permite conexiones Telnet desde cualquier 
dirección IP. Para multipuesto esto se complementaría con los 
correspondientes mapeos NAPT. 

Rule Number: 80
 Direction: inbound
 Action: permit
 Source Address/mask: 0.0.0.0/0.0.0.0
 Dest Address/mask: 0.0.0.0/0.0.0.0
 Protocol: tcp (6)
 Any source port
 Dest port equal to 23

Dicho esto, siempre prefiero la solución de dejar el router en monopuesto 
(con dos sencillas reglas que impiden el acceso desde el exterior a los 
puertos de administración Telnet y HTTP), y poner un buén firewall en una 
buena máquina con un buén sistema operativo. Ten en cuenta que la IP de la 
tarjeta de red de la máquina firewall que conecta con el router debe ser la 
IP pública. La IP del router debe ser una adyacente a ésta. 

Saludos,
 -G.

-- 
Gonzalo López Menéndez 
Candás, Asturias, ES.
--------------------------------------------------------------
Asturias desde el Aire, Candás 
http://www.uniovi.es/Asturias/Aire/84.jpg
Concejo de Carreño, Fotos Aéreas
http://www.ctv.es/USERS/correcaminos/capitulos/fotos.htm#fotos
--------------------------------------------------------------

More information about the hacking mailing list