Foro

Avatar de Situated8805
Situated8805
Más integrado que la RDSI
28-07-2023
Resuelto

Configurar firewall para limitar el acceso a internet de dispositivos domóticos

Hola comunidad!

 

Abro un nuevo hilo porque no he podido encontrar ninguno que contenga esta información. 

 

Como mucha gente, tengo dispositivos domóticos en casa, pero muchos de ellos los controlo de forma local (con Home Assistant), y me gustaría bloquear el acceso a internet (pero permitir LAN) a esos dispositivos. Conozco la dirección MAC y la IP de estos dispositivos, pero las reglas tienen muchas opciones. 

 

¿Podría alguien con más conocimientos decirnos qué parámetros tenemos que usar para que una persona que quiera cortar el acceso a internet a un dispositivo a través del firewall pueda hacerlo?

 

He visto este hilo, pero no se dan detalles de cómo se ha hecho: Solucionado: Bloquear acceso a internet de ciertos dispositivos 

 

Reglas de firewall: 

 

Opciones:

 

¡Muchísimas gracias!

 

 

ciberseguridad
cortafuegos
domótica
Firewall
internet
IoT
protección
seguridad
VLAN
  • Avatar de Theliel
    Theliel
    28-07-2023

    Buenas Situated8805 

     

    En el mismo enlace que pones, explicaba al usuario como hacerlo. No se dan detalles específicos porque ya entonces había unos cuantos HGU en el mercado, y ahora unos cuantos más, y cada uno tiene interfaces diferentes, incluso en algunos podría no ser capaz de hacerse. Eso sin contar que redactar un paso a paso nunca fue mi fuerte.

     

    Como decía, el problema es realmente "entender" como funciona un Firewall por lo general.

     

    En tu captura, hay dos partes cuando quieres darle a añadir, una para crear una cadena nueva, otra para crear reglas sobre la cadena que se quiera. La mayoría de las reglas ya creadas son bajo la cadena de tráfico entrante desde Internet al Router (IPv4pppIn), que por defecto bloquea todo el tráfico (DROP), y tan solo se permite aquello que queda definido en las reglas.

     

    El tráfico entrante (INPUT) no es el tráfico que llega a tus dispositivos desde Internet, el tráfico entrante es el tráfico que va desde Internet hacia tu Router, o desde tu red hacia el Router. El tráfico desde Internet hacia tu red local o desde tu red local hacia Internet es tráfico reenviado (FORWARD). Del mismo modo el tráfico saliente (OUTPUT) es el tráfico que crea y genera el propio Router hacia cualquier destino.

     

    Entendiendo eso, lo que tu quieres en esencia es bloquear el tráfico reenviado (FORWARD) que sale de tu red local hacia Internet. Esto no puede hacerse obviamente con la misma cadena en la que están la mayoría de las reglas ya creadas.

     

    Así que lo primero sería crear una cadena nueva que nos permita hacer esto, por defecto permitiendo todo el tráfico, y luego ya sí crear diferentes reglas sobre la misma cadena para bloquear el tráfico de determinadas IPs. Pero para ello también habría que asegurarse de que la IP no cambiase, con lo que también habría que estar asignando de forma estática por DHCP la IP de dichos dispositivos para que no cambiase.

     

    Saludos.

     

     

4 Respuestas

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    09-08-2023

    Buenas Situated8805 

     

    Si te refieres a las cadenas ya creadas, no tendría el menor sentido, y sería además un riesgo enorme para la seguridad.

     

    Las cadenas existentes son solo para el tráfico entrante, es decir, tráfico que está destinado al Router. Este tráfico no tiene nada que ver con el tráfico reenviado, que es el tráfico que va desde Internet a tu red local o viceversa. Esa es la política en todo caso que habría que asignar a una nueva cadena que fuese para el tráfico reenviado, o al menos para el tráfico generado en la parte de LAN.

     

    Pero en las reglas que por defecto están creadas, no te serviría absolutamente de nada hacer eso.

  • Avatar de Situated8805
    Situated8805
    Más integrado que la RDSI
    08-08-2023

    Muchas gracias, Theliel.

    Esto ayuda, desde luego. Gracias por compartir.

    Una duda sería si es compatible dejar las cadenas existentes que hacen DROP a todo menos a  lo permitido por las reglas, y paralelamente crear una nueva cadena PERMIT pero con reglas que no permitan esos determinados dispositivos. 

    Mi cabeza dice que no, pero quizá me pierdo algo. 

    ¡Gracias de nuevo y un saludo!

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    31-07-2023

    Hola Situated8805 y bienvenid@ a la Comunidad

     

    Lamentamos no poder ofrecerte soporte desde aquí al tratarse de funciones avanzadas del router. Esperamos que la información facilitada por Theliel (a quien agradecemos siempre sus aportaciones) te haya servido de ayuda. Igualmente dejamos el hilo abierto por si otros usuarios quieren añadir cualquier comentario al respecto.

     

    Un saludo.

     

    Nieves

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    28-07-2023

    Buenas Situated8805 

     

    En el mismo enlace que pones, explicaba al usuario como hacerlo. No se dan detalles específicos porque ya entonces había unos cuantos HGU en el mercado, y ahora unos cuantos más, y cada uno tiene interfaces diferentes, incluso en algunos podría no ser capaz de hacerse. Eso sin contar que redactar un paso a paso nunca fue mi fuerte.

     

    Como decía, el problema es realmente "entender" como funciona un Firewall por lo general.

     

    En tu captura, hay dos partes cuando quieres darle a añadir, una para crear una cadena nueva, otra para crear reglas sobre la cadena que se quiera. La mayoría de las reglas ya creadas son bajo la cadena de tráfico entrante desde Internet al Router (IPv4pppIn), que por defecto bloquea todo el tráfico (DROP), y tan solo se permite aquello que queda definido en las reglas.

     

    El tráfico entrante (INPUT) no es el tráfico que llega a tus dispositivos desde Internet, el tráfico entrante es el tráfico que va desde Internet hacia tu Router, o desde tu red hacia el Router. El tráfico desde Internet hacia tu red local o desde tu red local hacia Internet es tráfico reenviado (FORWARD). Del mismo modo el tráfico saliente (OUTPUT) es el tráfico que crea y genera el propio Router hacia cualquier destino.

     

    Entendiendo eso, lo que tu quieres en esencia es bloquear el tráfico reenviado (FORWARD) que sale de tu red local hacia Internet. Esto no puede hacerse obviamente con la misma cadena en la que están la mayoría de las reglas ya creadas.

     

    Así que lo primero sería crear una cadena nueva que nos permita hacer esto, por defecto permitiendo todo el tráfico, y luego ya sí crear diferentes reglas sobre la misma cadena para bloquear el tráfico de determinadas IPs. Pero para ello también habría que asegurarse de que la IP no cambiase, con lo que también habría que estar asignando de forma estática por DHCP la IP de dichos dispositivos para que no cambiase.

     

    Saludos.