Hola,
gracias por la pronta respuesta. Quisiera plantear dos questiones:
1.- Supongamos que quiero bloquear el acceso entrante a una serie de IP concretas. ¿Como lo puedo realizar?.
2.- ¿Como puedo crear una cadena nueva para que afectase al tráfico reenviado permitiendo todo por defecto, y sobre ella crear las reglas que uno quisiese para bloquear el tráfico de ciertos orígenes?
El equipo expuesto tiene habilitado un firewall y rechaza todo el trafico no identificado pero aun así me gustaría cortar el acceso a ciertas IP repetitivas que están intentando entrar en este servicio.
Gracias y un saludo.
Buenas uberiain
No tengo claro que te refieres con rechazar todo el tráfico no identificado, si te refieres a un control de acceso en el que bloquee en todo caso a una IP o similar después de X intentos, no es un Firewall. Precisamente la función de un Firewall es en esencia monitorizar el tráfico o cierto tráfico, y decidir que hace con él, si lo filtra o lo permite, en función de diferentes reglas.
Como tampoco sé que servicios estamos hablando ni nada por el estilo, de todos modos es hablar por hablar, pero cualquier dispositivo expuesto de la red local, siempre se tendrían que tomar unas medidas mínimas, y hablo de mínimas, sobre todo si hay información sensible/personal, o es un dispositivo importante:
1º. Jamás usar los puertos conocidos, ocultar siempre el servicio detrás de otro puerto. El del dispositivo puede usarse el mismo, el externo del Router no, usar un puerto alto aleatorio. Esto no afecta en nada al uso personal, y automáticamente evita el 99% (o más) de cualquier intento, sin necesidad de firewall, de problema de rendimiento ni de nada. Y para el uso propio lo único que hay que hacer en todo caso es en la aplicación o navegador o utilidad que sea que usa dicho servicio es especificar correctamente el puerto, nada más.
2º. Jamás exponer más servicios de los necesarios, esto va sobre todo para los usuarios que hacen uso de NAS, que están muy de moda ahora, y usan upnp, con lo que normalmente se autoexpone mucho más por lo general, permitiendo el acceso a servicios que no deberían
3º. Usar un Firewall, gestionar como mínimo una lista blanca o una lista negra, para rechazar cualquier conexión de cualquier ruído de Internet. Los ataques de fuerza bruta son efectivos si se usan contraseñas mediocres, y estos se pueden evitar de forma sencilla con control de acceso y bloquear cada X. Pero el verdadero peligro son las vulnerabilidades, y contra eso un solo intento sobra.
-----------
El problema de gestionar todo esto con el Router, es que un router doméstico no te va a dar las herramientas necesarias para ello. Vas a poder introducir en el mejor de los casos unas cuantas IPs/rangos, nada más, y sin contar con que el rendimiento puede caer. El Firewall del Router puede valer en todo caso para lo contrario, es decir, para permitir sólo unas cuantas IPs. Es por ejemplo el uso que hace Movistar para permitir el acceso al Router sólo desde sus equipos de gestión. Es decir, hacen uso de una "lista blanca". Pero esto a un usuario doméstico no suele servirle de nada porque no sabe que IP tendrá o que red usará. Y usar "listas negras" se hace totalmente inviable.
Yo uso mis propias listas que voy actualizando poco a poco, y uso tanto listas blancas como listas negras. Para que te hagas idea, la lista negra cuenta con más de 400 entradas entre redes e IPs, lo que suman más de 20.000 orígenes que se bloquean. La lista blanca son más de 15.000 entradas. si bloqueas 3-4 IPs sin tener en cuenta los puntos anteriores, mañana serán otras 4-5, y pasado mañana serán 10, luego serán 100, luego serán... vamos, te lo digo porque es algo que veo y controlo diariamente. Y esto con un Router doméstico te puedes olvidar, pero debería de ser extremadamente sencillo de configurar en el dispositivo al que se quiere acceder. Si es un sistema Windows, es sencillo. Si es un sistema Linux/Unix es sencillo. Si es un Router...
---------------------
En los HGU, en todos o casi todos se debería de poder hacer, pero como digo para cosas muy puntuales y siempre pensando más en lista blanca que negra, es decir, permitir todo y bloquear solo X, sería lista negra, bloquear todo y permitir sólo X, sería lista blanca. Listas blancas.. OK. Listas negras... mal negocio.
Instrucciones específicas para cada HGU es más complicado porque hay ahora mismo al menos 8 HGU si la memoria no me falla, y todos tienen un software diferente, aunque el procedimiento por lo general es el mismo, del mismo modo que es el "mismo" en cualquier otro Router si se realiza por Interfaz Web. Primero suele ser necesario crear una cadena en la que se establece la interfaz a la que está asignada, la política por defecto (permitir o bloquear). Dependiendo de la interfaz usada, tendrá más o meno sentido hacer lo que queramos hacer. Si usamos la interfaz WAN de Internet, pues en este caso no serviría de nada porque el tráfico no es entrante al Router, ya que se está reenviando.
Una vez la nueva cadena se ha creado, se pueden agregar ya filtros específicos sobre esa cadena. Si la cadena por defecto lo bloquea todo, crearemos entradas para aquellos que sí queremos permitir. O al revés, si la cadena lo permite todo, podremos añadir entradas a bloquear.
No puedo ser más específico, puesto que como digo todos lso HGU son diferentes. En cualquier caso he tenido ese HGU mucho tiempo y se puede "apañar" para ello, pero repito, para lo que pretendes no es útil y no vas a estar más protegido.
Saludos.
Hola,
concretamente me refiero a bloquear el acceso a una serie de IP.
Internamente los servicios expuestos esta cubiertos con un firewall, pero me molesta la presencia de ciertas IP que son siempre las mismas intentando acceder a estos servicioss, por ello es por lo que las quiero bloquear a nivel de router.
Lo he intentado configurar en IP filtering dentro de las reglas que están definidas para el acceso por parte de telefónica, pero no logro hacerlo funcionar, Tampoco encuentro documentación sobre como poder realizar esto.
Por ejemplo una entrada que sea: reject x.x.x.x to all lan ip and all ports.
Un saludo.
Buenas uberiain
Bloquear una IP a nivel de dispositivo es exactamente igual que bloquearla a nivel de Router, el Router simplemente está reenviando el tráfico porque tendrás una regla en PortForwarding.
Como te he dicho, no puede funcionar si lo configuras en las mismas reglas que están las de Movistar, poner eso ahí no tiene absolutamente ningún tipo de sentido, no es que no logres hacerlo funcionar, es que no puede funcionar. Ahí lo tendrías que colocar sólo si el servicio al que se quiere acceder está en el propio Router, no en un dispositivo de tu red. Es en esencia como funciona iptables.
Los Router, sea el que sea, no pueden exponer en su interfaz Web porque sería totalmente impensable todas las combinaciones posibles que puedan existir a la hora de configurar iptables. La única forma de permitir esto es un cuadro de texto en el que se pueda introducir directamente el comando iptable deseado, y para eso ya tienen los Router avanzados accesos a la Shell interna, para crear las reglas que uno requiera.
Los Firewall de cualquier Router, sobre todo los domésticos, están específicamente orientados a lidiar con el tráfico dirigido al Router (Entrante), no dirigido a un dispositivo de tu red (Reenviado), ya que por defecto NAT ya protege toda tu red de forma automática. Eres tú al crear una redirección de puertos el que está creando un agujero que se salta la protección que ofrece NAT. Esto hace que cualquier interfaz Web de cualquier Router doméstico tenga bastantes limitaciones a la hora de especificar perfectamente que se quiere o no bloquear/permitir. Y todo ello como digo con total independencia de los problemas comentados, que te iba a servir poco, en poco tiempo ibas a tener que ir ampliando enormemente la lista, créeme.
Puede parecer un poco incomprensible, pero no es algo tan sencillo decir: bloquear x.x.x.x a toda la red interna. Porque lo primero que cualquier Firewall diría ante ello es que cual es el origen del tráfico. Para cualquier dispositivo es extremadamente importante conocer si un tráfico es generado de forma propia, interna, externa... porque el tráfico transcurre por el propio Router/dispositivo de formas muy diferentes. Quizás esta imagen de como se estructura internamente iptables pueda explicarlo mejor:
Como ves, tiene un poquito más de "miga". Los cuadritos de colores son diferente tablas internas, y cada una de ella tiene por lo general diferentes cadenas, y cada cadena puede tener un número indeterminado de entradas (filtros). Esto no puede exponerlo en una interfaz Web un Router. Dado el uso de un Router doméstico, por lo general siempre va a actuar sólo en la cadenas INPUT (que usa la tabla mangle o filter por lo general), que es el tráfico dirigido al Router.
Pero al crear una redirección, el tráfco ya no es de entrada (INPUT), no va hacia el Router, va hacia otra red, por eso son redirecciones, así que va a las cadenas FORWARD, que usan las tablas mangle y filter. Uno podría decir que se puede filtrar de forma "universal" antes, si te fijas bien, antes que FORWARD tan solo tendríamos la opción de usar PREROUTING. Pero estas cadenas se usan para otros propósitos, los filtros, prácticamente todos, se realizan sobre la tabla filter, en la que se crean las cadenas que sean necesarias.
---------------------
Con los Router domésticos por lo general, lo único que puedes hacer con suerte es emular/simular una entrada creada, pero habría que hacerlo sobre una cadena nueva que pudiese el Router crear en la tabla FILTER, y que "añadiese" a la cadena FORWARD. Dado que los Router domésticos no permiten este grado de control, y mucho menos por interfaz Web, es tener buen tino a la hora de crear la cadena nueva, los ajustes configurados con suerte hacen que el Router la coloque en la tabla adecuada, en al cadena adecuada.
Espero que así se entienda un poco mejor, sé que es un poquito lioso (mucho) si nunca se ha lidiado con iptables.
Saludos.
Hola,
la funcionalidad que busco es similar a la que se realiza asi:
iptables -A INPUT -s [IP] -j DROP
Siendo IP la dirección externa. La pregunta es:
¿He de añadir una entrada nueva en IP Filter? ¿Sobre cual Interface?.
Segundo paso:
¿Cual ha de ser la filter rule a definir?.
Un saludo.
