Buenas uberiain
No compañero, como te he dicho eso no bloquearía absolutamente nada, eso es lo que hace las reglas que están ya metidas por Movistar, o lo que hace la regla que dices que has intentado meter, y por eso no funciona. Las reglas de un Router del Firewall por lo general son introducidas en INPUT, es decir, al tráfico dirigido al Router. Esto no tiene absolutamente nada que ver con el tráfico redirigido.
Si miras la imagen que he puesto, el tráfico el tráfico que viene (desde donde sea) hacia el Router, lo primero que hace es pasar a prerouting. De preoruting tiene dos opciones. O es tráfico dirigido al propio Router, y pasaría a input, o es tráfico destinado a otra red, que sería forward.
Dado que es tráfico que viene desde Internet y va dirigido a tu red interna porque tienes creada una redirección, es tráfico redirigido/reenviado/forward o como lo quieras llamar. NO ES TRAFICO DE ENTRADA.
Ejemplo de tráfico de entrada (input) es por ejemplo si uno quiere gestionar de forma remota el Router, y acceder a su interfaz Web. Entonces el tráfico se origina en Internet, y el destino no es tu red interna, es el Router. Eso es tráfico de entrada. También es tráfico de entrada si desde tu red local quieres acceder a tu Router, eso es tb tráfico de entrada. Cada vez que cualquier equipo de tu red accede a Internet, es tráfico reenviado para el Router.
Y es por ello por lo que los Firewall de los Router actúan sobre INPUT, y no sobre Forward, porque de facto el Router ya bloquea todo el tráfico Forward desde Internet a tu red local.
Así que la regla no sería de ese modo, sería realmente algo así:
iptables -t filter -A FORWARD -i X -o Z -s IP -j DROP
Donde:
X sería la interfaz de Internet del Router
Z sería la interfaz del bridge principal del Router
IP sería la IP/red que se quiere bloquear
y sin tener en cuenta puerto o protocolo, si se quiere afinar más pues habría que especificarlo tb.
-----------------
Y eso por eso por lo que por lo general hay que hilar muy fino si se quiere con un router doméstico filtrar cualquier tráfico de este tipo, porque de forma natural el Router ya lo está bloqueando, eres tú el que al crear la redirección, estás creando el agujero en el Firewall. Y esto sucede porque, repito, de facto, el Router ya posee una regla que bloquea todo el tráfico reenviado. Es decir, que el Router ya posee una regla que es:
iptables -A FORWARD -j DROP
Bueno, este realmente no tiene esa regla porque tienen muchas otras cadenas intermedias, en FORWARD pasa a otra luego a otra luego a otra... pero el final es el mismo, termina en eso. Pero cuando creas una redirección de puerto, creas reglas encima de esa regla para los puertos que sean, como están por encima, el tráfico se permite y pasa a tu red local, y no se bloquea. Así que la única forma de bloquearlo implica crear una regla por encima de todas ellas, para que se aplique ANTES de la redirección establecida obviamente.
Y aunque en principio es posible hacerlo, requiere como he dicho crear una cadena nueva en el Firewall, tener suerte que la ajuste antes de la redirección, y tener cuidado con las interfaces que entran en juego. Dependiendo del HGU que sea, la suerte, y la mano que se tenga, pues funcionará o no funcionará. Si se logra colocar la regla ANTES de que se haga efectiva la redirección, funcionará, si la redirección entra en juego antes... no funcionará.
Saludos.
Hola Theliel
entiendo que lo que estoy planteando es muy complicado y por ello estoy pidiendo si alguien con algún conocimiento mas profundo del Askey HGU RFT3505VW, me puede ayudar en la configuración de las reglas necesarias para intentar conseguir lo que deseo.
Puede resultar muy difícil pero espero que no resulte imposible.
Un saludo.
