No puedo creer que soy la única persona con este router que ha descubierto que el NAT no funciona en modo full-cone cuando se activa esta opción ???

Tampoco me creo que soy la única persona con este router que ha creado reglas en el firewall para descubrir que el firewall no las implementa????

--------------------------------------------------------------------------------------------------------------------------------------------------------------------

En otro hilo me han comentado que:

Parece ser que el FW es para uso exclusivo de los servicios internos al router.
La NAT no ofrece la posibiidad de filtrar mas aya de loque expone en la interface WEB. Pero si existe la posibilidad de aceder a la shel i configurar loas iptables.

Saludos

Daniel

Buenas @ecubamad

Creo que el usuario anterior también llevó a la confusión, y puede auqe a ti suceda lo mismo.

Una cosa son las reglas del Firewall, otra cosa es el PortForwarding/VirtualServer, son dos cosas totalmente diferentes, y si no se entiende que es una cosa y la otra, hay problemas.

PortForwarding/VirtualServer es lo que llamamos de forma generalista apertura de puertos. Dado que el Router hace NAT y que como es natural el Firewall se configura por defecto para bloquear todo el tráfico entrante no solicitado, es necesario "abrir puertos" cuando se requiere de alguna aplicacion por parte de algún equipo de la LAN que pueda recibir tráfico sin ser solicitado antes, generalmente programas tipo servidor.

Estas "aperturas" o redirecciones de puertos especifican al Router que si el tráfico alcanza al Router por el puerto X, este lo envia a la IP interna que sea al puerto que sea.

Otra cosa totalmente diferente son las reglas del Firewall. Estas reglas no son mapeadores de puertos y no se pueden ni deben de usar de este modo. Dado que por defecto la política de los FW es de denegar todo lo que no se solicite, en todo caso es necesario permitir aquello que si se desea

Hay un pequeño problema de comprensión aquí de lo que es FullCone NAT. El modo de funcionamiento por defecto de la mayoría de Routers es usando NAT simétrico, es decir, que cada conexión que realice cada equipo de la red a cualquier destino, es mapeada en la tabla NAT, incluso si son difererentes conexiones al mismo sitio, asignando en cada mapeo un puerto diferente en el Router, y de aquí hacia fuera. Es el modo más seguro, dado que tan solo se aceptarán aquellas conexiones entrantes que hayan sido solicitadas con anterioridad y al puerto que fue mapeado originalmente por conexión.

Esto hace que sea imposible por tanto usar aplicaciones tipo servidores, así que por eso tenermos PortForwarding/Virtual Server. Cuando se hace uso de esto, lo que se está haciendo precisamente es creando una excepción en el Router para usar Full Cone NAT... es decir, sí, FullCone NAT es de facto PortForwarding, o mejor dicho... PortForwarding lo que hace es FullCone  NAT

Así que resumiendo... Firewall Rules para establecer filtrados, reglas... PortForwarding para mapear conexiones/puertos/redireccionar

Muchas Gracias por la respuesta.

Mi dudas por partes:

1. Segun lo que me explica habilitando FullCone  NAT es suficiente para que funcione correctamente y no fue asi. Debo habilitar FullCone  NAT y al mismo tiempo hacer PortForwarding para los puertos?

2.Me dices:

El modo de funcionamiento por defecto de la mayoría de Routers es usando NAT simétrico, es decir, que cada conexión que realice cada equipo de la red a cualquier destino, es mapeada en la tabla NAT, incluso si son difererentes conexiones al mismo sitio, asignando en cada mapeo un puerto diferente en el Router, y de aquí hacia fuera. Es el modo más seguro, dado que tan solo se aceptarán aquellas conexiones entrantes que hayan sido solicitadas con anterioridad y al puerto que fue mapeado originalmente por conexión.

En esta caso al conexion SIP la inicia el cliente (un  telefono IP) , por tanto el router por defecto debe aceptar la conexion entrante del servidor.

3. Diferencias entre PortForwarding  y VirtualServer.

Saludos

Buenas @ecubamad

1. No tienes que habilitar FullCone NAT, no tienes que habilitar nada. Al hacer PortForwarding/Virtual Server ya estás usando FullCone. Esa opción lo que hace es cambiar el modo de funcionamiento integral de NAT del Router, pasar de NAT simétrico a FullCone, que te puedo asegurar no es lo que quieres ni necesitas, ni recomendable para nadie por aquí

2. SIP es un protocolo algo especial, al igual que la mayoría de protocolos VPN. El problema con estos protocolos es que digamos son... agnósticos a puertos por lo general, y en caso de SIP/VoIP el propio funcionamiento hace que la apertura de puertos tal cual no sea adecuada. Por qué?? Porque NAT da muchas virtudes, pero evita conexiones directas.

En el caso de SIP por ejemplo, tu quieres que cuando alguien llame de fuera la llamada pueda ser recibida en cualquier teléfono VoIP, no en uno ni en dos, en todos y por igual. Esto con apertura de puertos "tradicional" no podría funcionar en la vida... podrías redirigir en todo caso un puerto a un dispositivo... que sucede? Que para que SIP funcione correctamente, al igual que la mayoría de túneles VPN por parte al cliente, se requieren funciones especiales en el Router que hacen que esto sea posible.

Por lo general a estas técnicas se llaman Passtrought coloquialmente. La mayoría de los Routers las traen implementadas o permiten activarlas/desactivarlas. SIP es un ejemplo claro de esto, PPTP/IPSEc... otros. Por lo general por tanto, nunca es necesario abrir un puerto para SIP, en todo caso usar un SIP Passtrough en el Router. Tal es la cosa que en aquellos escenarios que tampoco exista posibilidad deun Passtrought en el Router, en caso de SIP se puede usar un servidor STUN para que precisamente se pueda establecer la conexión.

3. Ninguna, es lo mismo, son las muchas formas que tienen los fabricantes de nombrar lo mismo