Hola,
concretamente me refiero a bloquear el acceso a una serie de IP.
Internamente los servicios expuestos esta cubiertos con un firewall, pero me molesta la presencia de ciertas IP que son siempre las mismas intentando acceder a estos servicioss, por ello es por lo que las quiero bloquear a nivel de router.
Lo he intentado configurar en IP filtering dentro de las reglas que están definidas para el acceso por parte de telefónica, pero no logro hacerlo funcionar, Tampoco encuentro documentación sobre como poder realizar esto.
Por ejemplo una entrada que sea: reject x.x.x.x to all lan ip and all ports.
Un saludo.
Buenas uberiain
Bloquear una IP a nivel de dispositivo es exactamente igual que bloquearla a nivel de Router, el Router simplemente está reenviando el tráfico porque tendrás una regla en PortForwarding.
Como te he dicho, no puede funcionar si lo configuras en las mismas reglas que están las de Movistar, poner eso ahí no tiene absolutamente ningún tipo de sentido, no es que no logres hacerlo funcionar, es que no puede funcionar. Ahí lo tendrías que colocar sólo si el servicio al que se quiere acceder está en el propio Router, no en un dispositivo de tu red. Es en esencia como funciona iptables.
Los Router, sea el que sea, no pueden exponer en su interfaz Web porque sería totalmente impensable todas las combinaciones posibles que puedan existir a la hora de configurar iptables. La única forma de permitir esto es un cuadro de texto en el que se pueda introducir directamente el comando iptable deseado, y para eso ya tienen los Router avanzados accesos a la Shell interna, para crear las reglas que uno requiera.
Los Firewall de cualquier Router, sobre todo los domésticos, están específicamente orientados a lidiar con el tráfico dirigido al Router (Entrante), no dirigido a un dispositivo de tu red (Reenviado), ya que por defecto NAT ya protege toda tu red de forma automática. Eres tú al crear una redirección de puertos el que está creando un agujero que se salta la protección que ofrece NAT. Esto hace que cualquier interfaz Web de cualquier Router doméstico tenga bastantes limitaciones a la hora de especificar perfectamente que se quiere o no bloquear/permitir. Y todo ello como digo con total independencia de los problemas comentados, que te iba a servir poco, en poco tiempo ibas a tener que ir ampliando enormemente la lista, créeme.
Puede parecer un poco incomprensible, pero no es algo tan sencillo decir: bloquear x.x.x.x a toda la red interna. Porque lo primero que cualquier Firewall diría ante ello es que cual es el origen del tráfico. Para cualquier dispositivo es extremadamente importante conocer si un tráfico es generado de forma propia, interna, externa... porque el tráfico transcurre por el propio Router/dispositivo de formas muy diferentes. Quizás esta imagen de como se estructura internamente iptables pueda explicarlo mejor:
Como ves, tiene un poquito más de "miga". Los cuadritos de colores son diferente tablas internas, y cada una de ella tiene por lo general diferentes cadenas, y cada cadena puede tener un número indeterminado de entradas (filtros). Esto no puede exponerlo en una interfaz Web un Router. Dado el uso de un Router doméstico, por lo general siempre va a actuar sólo en la cadenas INPUT (que usa la tabla mangle o filter por lo general), que es el tráfico dirigido al Router.
Pero al crear una redirección, el tráfco ya no es de entrada (INPUT), no va hacia el Router, va hacia otra red, por eso son redirecciones, así que va a las cadenas FORWARD, que usan las tablas mangle y filter. Uno podría decir que se puede filtrar de forma "universal" antes, si te fijas bien, antes que FORWARD tan solo tendríamos la opción de usar PREROUTING. Pero estas cadenas se usan para otros propósitos, los filtros, prácticamente todos, se realizan sobre la tabla filter, en la que se crean las cadenas que sean necesarias.
---------------------
Con los Router domésticos por lo general, lo único que puedes hacer con suerte es emular/simular una entrada creada, pero habría que hacerlo sobre una cadena nueva que pudiese el Router crear en la tabla FILTER, y que "añadiese" a la cadena FORWARD. Dado que los Router domésticos no permiten este grado de control, y mucho menos por interfaz Web, es tener buen tino a la hora de crear la cadena nueva, los ajustes configurados con suerte hacen que el Router la coloque en la tabla adecuada, en al cadena adecuada.
Espero que así se entienda un poco mejor, sé que es un poquito lioso (mucho) si nunca se ha lidiado con iptables.
Saludos.
Hola,
la funcionalidad que busco es similar a la que se realiza asi:
iptables -A INPUT -s [IP] -j DROP
Siendo IP la dirección externa. La pregunta es:
¿He de añadir una entrada nueva en IP Filter? ¿Sobre cual Interface?.
Segundo paso:
¿Cual ha de ser la filter rule a definir?.
Un saludo.
Buenas uberiain
No compañero, como te he dicho eso no bloquearía absolutamente nada, eso es lo que hace las reglas que están ya metidas por Movistar, o lo que hace la regla que dices que has intentado meter, y por eso no funciona. Las reglas de un Router del Firewall por lo general son introducidas en INPUT, es decir, al tráfico dirigido al Router. Esto no tiene absolutamente nada que ver con el tráfico redirigido.
Si miras la imagen que he puesto, el tráfico el tráfico que viene (desde donde sea) hacia el Router, lo primero que hace es pasar a prerouting. De preoruting tiene dos opciones. O es tráfico dirigido al propio Router, y pasaría a input, o es tráfico destinado a otra red, que sería forward.
Dado que es tráfico que viene desde Internet y va dirigido a tu red interna porque tienes creada una redirección, es tráfico redirigido/reenviado/forward o como lo quieras llamar. NO ES TRAFICO DE ENTRADA.
Ejemplo de tráfico de entrada (input) es por ejemplo si uno quiere gestionar de forma remota el Router, y acceder a su interfaz Web. Entonces el tráfico se origina en Internet, y el destino no es tu red interna, es el Router. Eso es tráfico de entrada. También es tráfico de entrada si desde tu red local quieres acceder a tu Router, eso es tb tráfico de entrada. Cada vez que cualquier equipo de tu red accede a Internet, es tráfico reenviado para el Router.
Y es por ello por lo que los Firewall de los Router actúan sobre INPUT, y no sobre Forward, porque de facto el Router ya bloquea todo el tráfico Forward desde Internet a tu red local.
Así que la regla no sería de ese modo, sería realmente algo así:
iptables -t filter -A FORWARD -i X -o Z -s IP -j DROP
Donde:
X sería la interfaz de Internet del Router
Z sería la interfaz del bridge principal del Router
IP sería la IP/red que se quiere bloquear
y sin tener en cuenta puerto o protocolo, si se quiere afinar más pues habría que especificarlo tb.
-----------------
Y eso por eso por lo que por lo general hay que hilar muy fino si se quiere con un router doméstico filtrar cualquier tráfico de este tipo, porque de forma natural el Router ya lo está bloqueando, eres tú el que al crear la redirección, estás creando el agujero en el Firewall. Y esto sucede porque, repito, de facto, el Router ya posee una regla que bloquea todo el tráfico reenviado. Es decir, que el Router ya posee una regla que es:
iptables -A FORWARD -j DROP
Bueno, este realmente no tiene esa regla porque tienen muchas otras cadenas intermedias, en FORWARD pasa a otra luego a otra luego a otra... pero el final es el mismo, termina en eso. Pero cuando creas una redirección de puerto, creas reglas encima de esa regla para los puertos que sean, como están por encima, el tráfico se permite y pasa a tu red local, y no se bloquea. Así que la única forma de bloquearlo implica crear una regla por encima de todas ellas, para que se aplique ANTES de la redirección establecida obviamente.
Y aunque en principio es posible hacerlo, requiere como he dicho crear una cadena nueva en el Firewall, tener suerte que la ajuste antes de la redirección, y tener cuidado con las interfaces que entran en juego. Dependiendo del HGU que sea, la suerte, y la mano que se tenga, pues funcionará o no funcionará. Si se logra colocar la regla ANTES de que se haga efectiva la redirección, funcionará, si la redirección entra en juego antes... no funcionará.
Saludos.
Hola Theliel
entiendo que lo que estoy planteando es muy complicado y por ello estoy pidiendo si alguien con algún conocimiento mas profundo del Askey HGU RFT3505VW, me puede ayudar en la configuración de las reglas necesarias para intentar conseguir lo que deseo.
Puede resultar muy difícil pero espero que no resulte imposible.
Un saludo.
