Es una configuración trivial, es el mapeo de puertos de toda la vida: Port Forwarding.

Mapeas un puerto externo (del lado del Router) a uno interno (del lado de LAN). Funciona perfectamente

Muchas gracias por tu contestacion.

Creo que no me he expresado claramente, ya que me sugieres un simple Port Forwarding el cual me parece correcto si el NAT funcionase correctamenete es decir un NAT Full-Cone, pero por desgracia es uno de los problemas de este router + firmware. Esta es la razon por la cual intente utilizar el Firewall, pero esto tampoco parece funcionaer en este router + firmware.

Has logrado crear una regla en este router + firmware y confirmar que la regla te funicona?

Has conseguido que este router + firmware the agag un NAT con Full-cone, para no solo definir los puertos pero tambien los IP de origen y destino?

Saludos 

Daniel

Muchas gracias por tu contestación @Theliel

Creo que no me has entendido, ya que me sugieres un simple Port Forwarding el cual no es el problema.

En Advanced Setup -> WAN Service si editas el ppp0.1 veras que hay la posibilidad de habilitar Enable Fullcone NAT que significa que el router tomara en cuenta tanto la IP de origen y el puerto como la IP de destino y el puerto. Esto no funciona el router ignora esta selección y no permite definir el IP de origen.

Pero para colmo independientemente si habilitas o no el Fullcone NAT, el corta fuegos de este router ignora las reglas que tu definas. 

Si haces un Factory Reset, defines un NAT (Port Forwarding) por ejemplo:

ahora creas un regla en el firewall en la cual la accion sea:

Protocol: TCP
Src IP: 80.28.237.110
Src Port: 65433: 65533
Dst IP: 192.168.1.100
Dst Mask: 255.255.255.0
Dst Port: 65433: 65533

Action: Permit

Esto significa que solo el IP 80.28.237.110 podra acceder al rango de puertos 65433: 65533 No Funciona, lo mas peligroso es que cualquier IP externo tiene accesso!

Has logrado crear una regla en este router + firmware y confirmar que la regla te funciona?

Saludos 

Daniel

Buenas @zooid

O no me entero bien lo que intentas o estás confundiendo un poco los términos.

Habilitar FullCone de manera "global" precisamente lo que haría sería que cualquier equipo externo pudiese acceder a uno interno. En realidad FullCone es lo que hace cualquier mapeo tipo Port Forwarding, en el que cualquier equipo externo puede comunicarse con el equipo interno mandando el paquete a la IP pública de tu red y al puerto concreto... es decír, exactamente como funciona Port Forwarding/VirtualServer (o como prefieras llamarlo)

Algunos Routers permiten modificar el comportamiento general de NAT, que casi siempre se establece como NAT Simétrico por defecto

Es decir, un ejemplo práctico:

Por defecto, los Routers suelen funcionar como digo en NAT simétrico, donde cada vez que cualquier dispositivo de tu red realiza una conexión remota, el Router crea en su tabla NAT un mapeo único del tipo IP_Internar:Puerto_Interno -> IP_Remota:Puerto_Remoto. En dicho modo SOLO el host remoto al que se le ha solicitado previamente la conexión puede comunicarse con el equipo interno SOLO SI realiza dicha conexión exactamente a través del mismo puerto al que el equipo interno está solicitando y evidentemente sólo el equipo remoto al que se le está solicitando.

En FullCone no es así, en FullCone se elimina esta seguridad, y cualquier host puede comunicarse con el equipo:puerto interno simplemente con la IPexterna:puerto que se haya mapeado... es decir, lo mismo que hacer un portforwarding.

Habilitar FullCone a nivel global supongo que lo que hace es simplemente deshabilitar el comportamiento restrictivo de NAT simétrico, lo cual como es natural es un problema importante de seguridad 🙂

Lo que tu dices de permitir sólo una IP o rango específicos a un puerto, no tiene nada que ver con NAT, son reglas particulares en el FW y de si la interfaz web permite o no este tipo de filtros. Todo viene por debajo creado con iptables, y evidentemente puedes denegar o filtrar el acceso de cualquier IP o rango de estos. Ya es la interfaz web la que pude permitir o no especificar a la hora de crear un mapeo el origen de este.

Los filtros del Firewall se confunden... En linux existen diferentes tablas y es necesario entender el flujo de como pasa el tráfico por este. Esta imagen lo ilustra muy bien:

En Prerouting se establece el destino de los paquetes, ya sean para uso interno del Router, ya sea para ser reenviados. El seguimiento de conexiones permite realizar esto de forma simple. Si el paquete ha sido solicitad por un equipo en LAN, O TIENE UNA REGLA CREADA TIPO PORT FORWARDING este pasara a la tabla FORWARDING para reenviar el tráfico. En cambio si no existe nada por el estilo pasará a INPUT.

Por lo general, la pestaña Filter del Router hace referencia SOLO una vez que los paquetes han sido pasados a INPUT, es decir... no han sido destinados a reenvío. Un mapeo de puertos suele, o debería al menos, prevalecer sobre cualquie rregla o limitación esptablecida en input

Buenas tardes @Theliel

Primero quisiera agradecer le detallada respuesta a mi problema, y estoy de acuerdo con usted , que no he utilizado los términos correctos.

Mi problema son dos:

(1)

Al re-emplazar el técnico de telefónica el router que tenia anteriormente Comtrend VG-8050 el cual tenia un Nat estático con el router actual  MITRASTAR HGU GPT-2541GNAC con firmware 1.00(VNJ.0)b31 este ultimo no parece tener un Nat estático. Es decir el Comtrend permite definir como ve usted en la imagen siguiente el IP de externo (WAN) , y el rango de puerto contra el IP Interno (LAN) y el rango de puertos.

https://drive.google.com/file/d/0BwM6w4AwwkGfT0RMRkFJYTNvaEk/view

Lo cual significa que el NAT solo da acceso al la Ip interna (LAN) y el rango de puertos si la llamada se origina en el IP externo (WAN) definido en el NAT. En la siguiente imagen vera usted que el MITRASTAR HGU GPT-2541GNAC con firmware 1.00(VNJ.0)b31 no tiene esta posibilidad.

https://drive.google.com/file/d/0BwM6w4AwwkGfRmU0MkdLT28yRTA/view?usp=sharing

(2)

El segundo problema que tengo con el nuevo router MITRASTAR HGU GPT-2541GNAC con firmware 1.00(VNJ.0)b31 independientemente del punto anterior, es decir sin definir ningún NAT, es que las reglas que yo defino en el FW no las ejecuta. Por ejemplo si yo creo una regla en la cual defino un IP externo (WAN) con un rango de puertos, y un IP interno (LAN) con un rango de puertos, entiendo que si la llamada no se origina en el Ip externo (WAN) dentro del rango especificado, FW ejecutara un DROP, por el contrario si la llamada se origina desde el IP externo (WAN) definido en la regla, el FW permitirá pasar al paquete. Vea used el ejemplo en las siguiente dos imagenes.

 https://drive.google.com/file/d/0BwM6w4AwwkGfVXRjZTJWUVMtVUk/view?usp=sharing

En esta primera imagen vera usted que el FW define en General para el ppp0.1 la acción por defecto de DROP y dentro de esta definición General se define Reglas como ve en la siguiente imagen done se especifica el origen (WAN) y rango de puertos y Destino (LAN) y rango de puertos.

https://drive.google.com/file/d/0BwM6w4AwwkGfVzR5QnNRUTBiYnM/view?usp=sharing

En este momento con la FW configurada como ve en las imágenes anteriores, si desde la WAN en un equipo con IP externo  IP 80.28.237.110 llamo a mi equipo por el puerto 63703, el FW tendría que darme acceso a el equipo interno de la LAN con IP 192.168.103 al puerto 7778. El caso es que no me da acceso.

Espero que los ejemplos que he descrito y con las correspondientes imágenes, entienda usted el problema en el que me veo.

Saludos

Daniel

Buenas @zooid

Por desgracia las imagenes que pones no serán visibles hasta dentro de un día o dos, si quieres que podamos verlas mejor enlázalas a un servidor externo y pegas el enlace (las mías y las de algunos si se ven al momento).

Al margen de ello, como digo, "Filter" en el FW por lo generla hace referencia a la tabla input, con lo que solo van a entrar en juego cuando el tráfico sea hacia el propio Router, no sobre un puerto ya mapeado. Si el puerto está ya mapeado, pasa a la tabla forward, no a input, y por tanto no se aplican las reglas aplicadas en "Filter" en el FW del Router.

Sí, se podría implementar un "filter" en la tabla forwarding en el Router de modo que se pueda como dices hacer un filtrado mucho más profundo, pero es un añadido más que un fallo del Router.

Buenas @Theliel

Muchas gracias y perdone las molestias. He editado mi contestacion anterior y he puesto un enlace a las imagenes.

---

 

Al margen de ello, como digo, "Filter" en el FW por lo generla hace referencia a la tabla input, con lo que solo van a entrar en juego cuando el tráfico sea hacia el propio Router, no sobre un puerto ya mapeado. Si el puerto está ya mapeado, pasa a la tabla forward, no a input, y por tanto no se aplican las reglas aplicadas en "Filter" en el FW del Router.

 

---

Si le entiendo correctamente, me indica usted que si no defino en NAT ningun puerto mapeado, entonces podre definir en el FW la regla de filtrado y esta tendría que ejecutarse correctamente. Por desgracia esto no funciona. Es decir he eliminado todo los puertos mapeados en el NAT quedando el NAT vacío. He creado una sola regla de filtro en el FW y el FW no ejecuta la regla?????

También me dice usted:

---

 

Sí, se podría implementar un "filter" en la tabla forwarding en el Router de modo que se pueda como dices hacer un filtrado mucho más profundo, pero es un añadido más que un fallo del Router.

---

Seria usted tan amable de explicarme como realizar esto ya que esta solución seria mas elegante y limpia y me eliminaría el quebradero de cabeza con el FW.

Saludos
Daniel

Buenas @zooid

No.... a ver, el apartado de "Filters" del FW funciona perfectamente, pero estos se aplican sólo al tráfico que va dirigido al propio Router, no a la LAN. Me explico...

El propio Router tiene servicios propios, en este caso un servidor Web propio que hace de configurador, un cliente Telnet/SSH, servidor DHCP, servidor resolución DNS... todos esos servicios están y son usados dentro del propio Router. Lo que impide que el exterior pueda acceder a todo ello es "Filters" de la pestaña del FW, que bloquea o permite el acceso a dichos servicios, repito... todo tráfico que va dirigido directamente al Router, no a la LAN interna.

Todo lo que se quiera filtrar que fuese relativo a la LAN interna, es decir... filtrar equipos remotos para acceder a servicios de la LAN (no del Router) , forma parte internamente de la tabla NAT del Router, que sólo podemos interaccionar directamente a través de Port Forwarding.

Para hacer lo que pretendes, sólo se podría hacer de dos modos:

1. Por interfaz web no es posible, porque no te permite configurar igualmente los orígenes, sólo realizar el mapeo. Esta función podría ser implementada (o no) en el futuro en la interfaz web. No es una limitación por así decirlo del Router o de Linux que hay debajo, sino de las opciones que se dan en la interfaz web para ello.

2. Por Shell directamente en el Router, definiendo las reglas como uno quiera. Sería tan sencillo como denegar por iptables la conexión de cualquier origen en la tabla filter, cadena FORWARD (presuponiendo que ya existe el mapeo creado):

iptables -I FORWARD -d ip_origen/rango -j DROP

O editar el mapeo creado y modificarlo para que sólo lo permita al contrario, que sólo lo acepte si pertenece a un rango especifico en la tabla nat y la cadena prerouting (por ejemplo)

Por desgracia la segunda opción sólo te valdría accediendo a la shell interna, que aunque es "sencillo" en este modelo en concreto, tendrías que definirla de forma que se autocrease nada mas reiniciar el Router, algo que por seguridad aun no he dicho como sería posible hacerse.

Buenas tardes @Theliel

Muchísimas gracias por la explicación. Por lo que veo tengo que utilizar la shell y acceder al router para configurar el iptables, pero me menciona usted que esto solo sera valido para runtime y no para permanent, es decir si se re-iniciase el router perdería las reglas definidas en el iptables.

Existe algún departamento en telefónica al cual se le pueda contratar para que genere esta regla de forma permanente en el router y así usted no tiene que divulgar el método a utilizar? o es posible crear un cron-job en el router que genere las reglas del iptable durante el arranque sin usted tener que divulgar esta información? 

En resumen estoy buscando la forma de configurar el router para poder trabajar y tener acceso a los equipos en la LAN cuando me encuentro en el extranjero sin tener el temor que si se reinicia el router estoy perdido? O me recomienda usted que busque la forma de re-emplazar este router con el que tenia anteriormente, el Comtrend VG-8050 + OTN?

Saludos

Daniel