Desde Movistar nos capar el Router
Tengo un router DSL-100HN-T1v4, y necesito abrir al exterior el puerto 80 Pues bien, después de configurar todo bien, y además desactivar el Firewall; los de Movistar me lo activan internamente, aun...
Foro
Buenas Chemita2307
Los Router de Movistar suelen tener el puerto 80 para uso propio, para la propia interfaz Web del Router. La regla del Firewall que existe, no tiene absolutamente nada que ver con la redirección de puertos, esas reglas es para el tráfico entrante, y aunque el nombre lleve a confusión el tráfico entrante no es el que va dirigido a tu red local, sino al Router. Dicho de otro modo la regla en el Firewall que suele tener Movistar relativa al puerto 80/443/22 es para restringir el acceso al propio Router, que por defecto y por seguridad tan solo tiene acceso los equipos de gestión de Movistar, eso es lo que pone la regla del Firewall.
Si lo que quieres es exponer un dispositivo propio al exterior al puerto 80, es una muy muy mala idea, puesto que dicho equipo sería atacado constantemente desde Internet. A menos que tengas conocimientos avanzados y dispositivos seguros, nadie debería jamás de exponer un puerto conocido hacia el exterior.
Si lo que quieres es poder acceder a tu propio Router desde el exterior, también es muy mala idea, porque será el Router quien esté expuesto hacia afuera, no te quiero decir los problemas de seguridad que ello entraña.
Lo que se suele hacer por seguridad es exponer un puerto externo cualesquiera, alto, por ejemplo el 20000 hacia el 80 de un equipo interno. Aun cuando el Router te permitiese cambiar el puerto de gestión y pudieses mapear el puerto 80, el consejo sería igualmente el mismo.
Esto en particular no se hace por capar, sino por seguridad. Son Router domésticos, donde el usuario suele tener conocimientos limitados. Aquellos que realmente saben lo que hacen y requieren de prestaciones avanzadas, por lo general prefiere usar su propio Router, el cual configura como estime, no un Router residencial "sencillo" de un ISP.
Si que existe un CSF interno, independiente del que ya quité en el panel de administrador. Y si, el equipo que da servicio al exterior está bien protegido con su propio Firewall.
Te adjunto log del router que demuestra lo que digo:
RemoteManagement: Action=DROP Unsecured Client Access Deny IN=ppp0 OUT= MAC= src=217.17.240.228 DST=192.168.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=45558 PROTO=TCP SPT=59463 DPT=80 WINDOW=33831 RES=0x00 SYN URGP=0
No intentes dejarme como mentiroso, que soy experto en Linux y en Redes.
Buenas Chemita2307
No te estoy dejando de mentiroso compañero, en ningún momento he dicho que estés mintiendo.
Todo lo contrario, te he explicado perfecta y detalladamente cual es el problema, te recomendaría releeer lo que he escrito, literatura que debería ser bastante sencilla de comprender por cierto para un, cito: "experto en Linux y en Redes". Problema por cierto, que puedes ver en tu propio log de forma sencilla igualmente.
Pero por si no me he explicado correctamente, no tengo problema alguno de volver a repetirlo:
Los Router domésticos de Movistar (todos o casi todos al menos) poseen en su Firewall reglas por defecto para bloquear el acceso a los puertos 80/443/22, debido a que el Router los usa para uso propio, dado que tiene levantado el servidor Web para la gestión de este, y generalmente también el servidor SSH. De no existir dichas reglas en el FW del Router, estos servicios (los del Router) serían accesibles de forma externa, por lo que Movistar los protege denegando el acceso a ellos a menos que el origen no pertenezca a los equipos de gestión de Movistar, para los que si se concede acceso.
Dado que efectivamente en tu respuesta das a entender que efectivamente lo que estás intentando realizar es una redirección/apertura de puertos para exponer un dispositivo de tu red local hacia Internet, carece totalmente de sentido (y más para un experto en redes/linux) que pretenda solucionarlo modificando el Firewall del Router, ya que el 99% de los Firewall de los Router residenciales se aplican tan solo al tráfico Entrante, no al tráfico Reenviado (que a fin de cuenta está protegido por NAT), matiz de enorme importancia, puesto que el tráfico entrante es el tráfico destinado al Router, y el reenviado sería el destinado a un equipo de la red local.
Esto quiere decir que el deshabilitar el Firewall del Router o modificar cualquiera de sus reglas generalmente lo único que haces es exponer hacia internet los servicios internos del Router, (lo cual por cierto es una idea pésima), no, como has dado a entender equivocadamente, permitir o denegar el acceso a la red local, lo cual para ello ya se encarga automáticamente NAT, bloqueando de facto cualquier acceso externo hacia la red local, de ahí la necesidad de la apertura de puertos para poder hacer uso de servicios dentro de la red local.
-----------
Con todo esto, y con la contestación anterior, te repito el problema de base. Dichos puertos los usa el Router para uso interno, y por ende no puedes mapearlos a menos que la interfaz Web permitiese modificar los puertos de escucha del Servidor Web/SSH/otros. Dado que el Router usa el puerto 80 para sí mismo, cualquier tráfico dirigido hacia el puerto 80 del Router este lo toma como tráfico propio (tráfico entrante, cadena INPUT en iptables y esas cosas), y por ende lo pasa por las reglas del Firewall de tráfico de entrada, y lo deniega porque el origen no está dentro de los rangos IPs permitidos.
Si pudieses eliminar dicha regla, que en la mayoría de los equipos de Movistar se puede quitar, no solucionarías nada, al contrario, sería contraproducente, porque ahora podría acceder a la interfaz de gestión del Router cualquiera, sin importar que el origen provenga de los servidores de gestión de Movistar.
De echo el log te lo está diciendo bien claro:
N=ppp0 OUT= MAC= src=217.17.240.228 DST=192.168.1.1
Origen -> 217.17.240.228
Destino -> 192.168.1.1El destino es el Router, no un equipo de la red local, tráfico de entrada, no reenviado (FORWARD en iptables, aplicado cuando hay un cambio de red, por ejemplo una redirección de puertos a un equipo de la red local)
Como ves, es bastante sencillo de entender. Y el por qué de actuar de este modo, aunque no tengo ni idea las políticas internas y decisiones de Movistar, doy por sentado que son por cuestiones de seguridad básicas y de gestión. Movistar requiere, y es lógico, tener acceso a sus equipos, lo cual lo hace entre otras cosas por su interfaz Web. Que podría tener apartados concretos para permitir levantar los servicios en otros puertos, o deshabilitar directamente la gestión remota? Sí, y de echo algunos Router que tienen lo permiten, pero en cualquier caso son funcionalidades que no requiere el 95% de los usuarios, al contrario, a efectos generales serían problemas de seguridad para ellos.
Así que si no estás conforme con estas políticas o como Movistar preconfigura sus equipos, siempre puedes usar tu propio Router, cosa por cierto que me asombra, que un usuario experto que requiere hacer uso de servicios poco habituales y que potencialmente pueden poner en riesgo la seguridad de su red, prefiera fiarse de la seguridad y la poca versatilidad de los Router del ISP. Pero oye, quien soy yo para opinar en ello o decirle a nadie lo que debe o no hacer.
Saludos.
Tengo la redirección bien puesta, pero el router pasa de ella:
http 80 80 80 80 192.168.1.232 Buenas Chemita2307
Copio/pego de mi anterior contestación, por si toda la demás literatura te ha mareado un poco:
"...Dichos puertos los usa el Router para uso interno, y por ende no puedes mapearlos a menos que la interfaz Web permitiese modificar los puertos de escucha del Servidor Web/SSH/otros"
No es del todo real, porque dependiendo del Router y de la habilidad del usuario se puede hacer un bypass a esto.
Saludos.
