Askey HGU RFT3505VW configurar filtro de acceso a IP externas

Buenas uberiain 

Bloquear una IP a nivel de dispositivo es exactamente igual que bloquearla a nivel de Router, el Router simplemente está reenviando el tráfico porque tendrás una regla en PortForwarding.

Como te he dicho, no puede funcionar si lo configuras en las mismas reglas que están las de Movistar, poner eso ahí no tiene absolutamente ningún tipo de sentido, no es que no logres hacerlo funcionar, es que no puede funcionar. Ahí lo tendrías que colocar sólo si el servicio al que se quiere acceder está en el propio Router, no en un dispositivo de tu red. Es en esencia como funciona iptables.

Los Router, sea el que sea, no pueden exponer en su interfaz Web porque sería totalmente impensable todas las combinaciones posibles que puedan existir a la hora de configurar iptables. La única forma de permitir esto es un cuadro de texto en el que se pueda introducir directamente el comando iptable deseado, y para eso ya tienen los Router avanzados accesos a la Shell interna, para crear las reglas que uno requiera.

Los Firewall de cualquier Router, sobre todo los domésticos, están específicamente orientados a lidiar con el tráfico dirigido al Router (Entrante), no dirigido  a un dispositivo de tu red (Reenviado), ya que por defecto NAT ya protege toda tu red de forma automática. Eres tú al crear una redirección de puertos el que está creando un agujero que se salta la protección que ofrece NAT. Esto hace que cualquier interfaz Web de cualquier Router doméstico tenga bastantes limitaciones a la hora de especificar perfectamente que se quiere o no bloquear/permitir. Y todo ello como digo con total independencia de los problemas comentados, que te iba a servir poco, en poco tiempo ibas a tener que ir ampliando enormemente la lista, créeme.

Puede parecer un poco incomprensible, pero no es algo tan sencillo decir: bloquear x.x.x.x a toda la red interna. Porque lo primero que cualquier Firewall diría ante ello es que cual es el origen del tráfico. Para cualquier dispositivo es extremadamente importante conocer si un tráfico es generado de forma propia, interna, externa... porque el tráfico transcurre por el propio Router/dispositivo de formas muy diferentes. Quizás esta imagen de como se estructura internamente iptables pueda explicarlo mejor:

Como ves, tiene un poquito más de "miga". Los cuadritos de colores son diferente tablas internas, y cada una de ella tiene por lo general diferentes cadenas, y cada cadena puede tener un número indeterminado de entradas (filtros). Esto no puede exponerlo en una interfaz Web un Router. Dado el uso de un Router doméstico, por lo general siempre va a actuar sólo en la cadenas INPUT (que usa la tabla mangle o filter por lo general), que es el tráfico dirigido al Router.

Pero al crear una redirección, el tráfco ya no es de entrada (INPUT), no va hacia el Router, va hacia otra red, por eso son redirecciones, así que va a las cadenas FORWARD, que usan las tablas mangle y filter. Uno podría decir que se puede filtrar de forma "universal" antes, si te fijas bien, antes que FORWARD tan solo tendríamos la opción de usar PREROUTING. Pero estas cadenas se usan para otros propósitos, los filtros, prácticamente todos, se realizan sobre la tabla filter, en la que se crean las cadenas que sean necesarias.

---------------------

Con los Router domésticos por lo general, lo único que puedes hacer con suerte es emular/simular una entrada creada, pero habría que hacerlo sobre una cadena nueva que pudiese el Router crear en la tabla FILTER, y que "añadiese" a la cadena FORWARD. Dado que los Router domésticos no permiten este grado de control, y mucho menos por interfaz Web, es tener buen tino a la hora de crear la cadena nueva, los ajustes configurados con suerte hacen que el Router la coloque en la tabla adecuada, en al cadena adecuada.

Espero que así se entienda un poco mejor, sé que es un poquito lioso (mucho) si nunca se ha lidiado con iptables.

Saludos.