Configurar firewall para limitar el acceso a internet de dispositivos domóticos

Situated8805
Más integrado que la RDSI
Configurar firewall para limitar el acceso a internet de dispositivos domóticos

Hola comunidad!

 

Abro un nuevo hilo porque no he podido encontrar ninguno que contenga esta información. 

 

Como mucha gente, tengo dispositivos domóticos en casa, pero muchos de ellos los controlo de forma local (con Home Assistant), y me gustaría bloquear el acceso a internet (pero permitir LAN) a esos dispositivos. Conozco la dirección MAC y la IP de estos dispositivos, pero las reglas tienen muchas opciones. 

 

¿Podría alguien con más conocimientos decirnos qué parámetros tenemos que usar para que una persona que quiera cortar el acceso a internet a un dispositivo a través del firewall pueda hacerlo?

 

He visto este hilo, pero no se dan detalles de cómo se ha hecho: Solucionado: Bloquear acceso a internet de ciertos dispositivos 

 

Reglas de firewall: 

Screenshot 2023-07-28 at 15.20.49.png

 

Opciones:

Screenshot 2023-07-28 at 15.23.33.png

 

¡Muchísimas gracias!

 

 

Mensaje 1 de 5
1.108 Visitas
4 RESPUESTAS 4
Theliel
Yo probé el VDSL

Buenas @Situated8805 

 

En el mismo enlace que pones, explicaba al usuario como hacerlo. No se dan detalles específicos porque ya entonces había unos cuantos HGU en el mercado, y ahora unos cuantos más, y cada uno tiene interfaces diferentes, incluso en algunos podría no ser capaz de hacerse. Eso sin contar que redactar un paso a paso nunca fue mi fuerte.

 

Como decía, el problema es realmente "entender" como funciona un Firewall por lo general.

 

En tu captura, hay dos partes cuando quieres darle a añadir, una para crear una cadena nueva, otra para crear reglas sobre la cadena que se quiera. La mayoría de las reglas ya creadas son bajo la cadena de tráfico entrante desde Internet al Router (IPv4pppIn), que por defecto bloquea todo el tráfico (DROP), y tan solo se permite aquello que queda definido en las reglas.

 

El tráfico entrante (INPUT) no es el tráfico que llega a tus dispositivos desde Internet, el tráfico entrante es el tráfico que va desde Internet hacia tu Router, o desde tu red hacia el Router. El tráfico desde Internet hacia tu red local o desde tu red local hacia Internet es tráfico reenviado (FORWARD). Del mismo modo el tráfico saliente (OUTPUT) es el tráfico que crea y genera el propio Router hacia cualquier destino.

 

Entendiendo eso, lo que tu quieres en esencia es bloquear el tráfico reenviado (FORWARD) que sale de tu red local hacia Internet. Esto no puede hacerse obviamente con la misma cadena en la que están la mayoría de las reglas ya creadas.

 

Así que lo primero sería crear una cadena nueva que nos permita hacer esto, por defecto permitiendo todo el tráfico, y luego ya sí crear diferentes reglas sobre la misma cadena para bloquear el tráfico de determinadas IPs. Pero para ello también habría que asegurarse de que la IP no cambiase, con lo que también habría que estar asignando de forma estática por DHCP la IP de dichos dispositivos para que no cambiase.

 

Saludos.

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 5
1.074 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @Situated8805 y bienvenid@ a la Comunidad

 

Lamentamos no poder ofrecerte soporte desde aquí al tratarse de funciones avanzadas del router. Esperamos que la información facilitada por @Theliel (a quien agradecemos siempre sus aportaciones) te haya servido de ayuda. Igualmente dejamos el hilo abierto por si otros usuarios quieren añadir cualquier comentario al respecto.

 

Un saludo.

 

Nieves



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 3 de 5
1.026 Visitas
Situated8805
Más integrado que la RDSI

Muchas gracias, @Theliel.

Esto ayuda, desde luego. Gracias por compartir.

Una duda sería si es compatible dejar las cadenas existentes que hacen DROP a todo menos a  lo permitido por las reglas, y paralelamente crear una nueva cadena PERMIT pero con reglas que no permitan esos determinados dispositivos. 

Mi cabeza dice que no, pero quizá me pierdo algo. 

¡Gracias de nuevo y un saludo!

Mensaje 4 de 5
997 Visitas
Theliel
Yo probé el VDSL

Buenas @Situated8805 

 

Si te refieres a las cadenas ya creadas, no tendría el menor sentido, y sería además un riesgo enorme para la seguridad.

 

Las cadenas existentes son solo para el tráfico entrante, es decir, tráfico que está destinado al Router. Este tráfico no tiene nada que ver con el tráfico reenviado, que es el tráfico que va desde Internet a tu red local o viceversa. Esa es la política en todo caso que habría que asignar a una nueva cadena que fuese para el tráfico reenviado, o al menos para el tráfico generado en la parte de LAN.

 

Pero en las reglas que por defecto están creadas, no te serviría absolutamente de nada hacer eso.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 5 de 5
966 Visitas