Buenas uberiain
Las reglas del Firewall del Router se aplican al tráfico entrante por lo general, no al tráfico reenviado, que es lo que sucede si estás redireccionando un puerto. Es decir, por lo general tan solo afecta al tráfico dirigido hacia el Router.
Normalmente, lo más efectivo, rápido, y con mayor rendimiento es usar en el equipo en cuestión que hospeda el servicio que sea, el que está en tu red local, un Firewall completo con el que controlarlo absolutamente todo, que por eso mismo es el que está expuesto. Esta opción es infinitamente mejor que la opción del Router.
En lo relativo al Router, por otro lado, se podría crear una cadena nueva para que afectase al tráfico reenviado permitiendo todo por defecto, y sobre ella crear las reglas que uno quisiese para bloquear el tráfico de ciertos orígenes.
Saludos.
Hola,
gracias por la pronta respuesta. Quisiera plantear dos questiones:
1.- Supongamos que quiero bloquear el acceso entrante a una serie de IP concretas. ¿Como lo puedo realizar?.
2.- ¿Como puedo crear una cadena nueva para que afectase al tráfico reenviado permitiendo todo por defecto, y sobre ella crear las reglas que uno quisiese para bloquear el tráfico de ciertos orígenes?
El equipo expuesto tiene habilitado un firewall y rechaza todo el trafico no identificado pero aun así me gustaría cortar el acceso a ciertas IP repetitivas que están intentando entrar en este servicio.
Gracias y un saludo.
Buenas uberiain
No tengo claro que te refieres con rechazar todo el tráfico no identificado, si te refieres a un control de acceso en el que bloquee en todo caso a una IP o similar después de X intentos, no es un Firewall. Precisamente la función de un Firewall es en esencia monitorizar el tráfico o cierto tráfico, y decidir que hace con él, si lo filtra o lo permite, en función de diferentes reglas.
Como tampoco sé que servicios estamos hablando ni nada por el estilo, de todos modos es hablar por hablar, pero cualquier dispositivo expuesto de la red local, siempre se tendrían que tomar unas medidas mínimas, y hablo de mínimas, sobre todo si hay información sensible/personal, o es un dispositivo importante:
1º. Jamás usar los puertos conocidos, ocultar siempre el servicio detrás de otro puerto. El del dispositivo puede usarse el mismo, el externo del Router no, usar un puerto alto aleatorio. Esto no afecta en nada al uso personal, y automáticamente evita el 99% (o más) de cualquier intento, sin necesidad de firewall, de problema de rendimiento ni de nada. Y para el uso propio lo único que hay que hacer en todo caso es en la aplicación o navegador o utilidad que sea que usa dicho servicio es especificar correctamente el puerto, nada más.
2º. Jamás exponer más servicios de los necesarios, esto va sobre todo para los usuarios que hacen uso de NAS, que están muy de moda ahora, y usan upnp, con lo que normalmente se autoexpone mucho más por lo general, permitiendo el acceso a servicios que no deberían
3º. Usar un Firewall, gestionar como mínimo una lista blanca o una lista negra, para rechazar cualquier conexión de cualquier ruído de Internet. Los ataques de fuerza bruta son efectivos si se usan contraseñas mediocres, y estos se pueden evitar de forma sencilla con control de acceso y bloquear cada X. Pero el verdadero peligro son las vulnerabilidades, y contra eso un solo intento sobra.
-----------
El problema de gestionar todo esto con el Router, es que un router doméstico no te va a dar las herramientas necesarias para ello. Vas a poder introducir en el mejor de los casos unas cuantas IPs/rangos, nada más, y sin contar con que el rendimiento puede caer. El Firewall del Router puede valer en todo caso para lo contrario, es decir, para permitir sólo unas cuantas IPs. Es por ejemplo el uso que hace Movistar para permitir el acceso al Router sólo desde sus equipos de gestión. Es decir, hacen uso de una "lista blanca". Pero esto a un usuario doméstico no suele servirle de nada porque no sabe que IP tendrá o que red usará. Y usar "listas negras" se hace totalmente inviable.
Yo uso mis propias listas que voy actualizando poco a poco, y uso tanto listas blancas como listas negras. Para que te hagas idea, la lista negra cuenta con más de 400 entradas entre redes e IPs, lo que suman más de 20.000 orígenes que se bloquean. La lista blanca son más de 15.000 entradas. si bloqueas 3-4 IPs sin tener en cuenta los puntos anteriores, mañana serán otras 4-5, y pasado mañana serán 10, luego serán 100, luego serán... vamos, te lo digo porque es algo que veo y controlo diariamente. Y esto con un Router doméstico te puedes olvidar, pero debería de ser extremadamente sencillo de configurar en el dispositivo al que se quiere acceder. Si es un sistema Windows, es sencillo. Si es un sistema Linux/Unix es sencillo. Si es un Router...
---------------------
En los HGU, en todos o casi todos se debería de poder hacer, pero como digo para cosas muy puntuales y siempre pensando más en lista blanca que negra, es decir, permitir todo y bloquear solo X, sería lista negra, bloquear todo y permitir sólo X, sería lista blanca. Listas blancas.. OK. Listas negras... mal negocio.
Instrucciones específicas para cada HGU es más complicado porque hay ahora mismo al menos 8 HGU si la memoria no me falla, y todos tienen un software diferente, aunque el procedimiento por lo general es el mismo, del mismo modo que es el "mismo" en cualquier otro Router si se realiza por Interfaz Web. Primero suele ser necesario crear una cadena en la que se establece la interfaz a la que está asignada, la política por defecto (permitir o bloquear). Dependiendo de la interfaz usada, tendrá más o meno sentido hacer lo que queramos hacer. Si usamos la interfaz WAN de Internet, pues en este caso no serviría de nada porque el tráfico no es entrante al Router, ya que se está reenviando.
Una vez la nueva cadena se ha creado, se pueden agregar ya filtros específicos sobre esa cadena. Si la cadena por defecto lo bloquea todo, crearemos entradas para aquellos que sí queremos permitir. O al revés, si la cadena lo permite todo, podremos añadir entradas a bloquear.
No puedo ser más específico, puesto que como digo todos lso HGU son diferentes. En cualquier caso he tenido ese HGU mucho tiempo y se puede "apañar" para ello, pero repito, para lo que pretendes no es útil y no vas a estar más protegido.
Saludos.
Hola,
concretamente me refiero a bloquear el acceso a una serie de IP.
Internamente los servicios expuestos esta cubiertos con un firewall, pero me molesta la presencia de ciertas IP que son siempre las mismas intentando acceder a estos servicioss, por ello es por lo que las quiero bloquear a nivel de router.
Lo he intentado configurar en IP filtering dentro de las reglas que están definidas para el acceso por parte de telefónica, pero no logro hacerlo funcionar, Tampoco encuentro documentación sobre como poder realizar esto.
Por ejemplo una entrada que sea: reject x.x.x.x to all lan ip and all ports.
Un saludo.
