Buenos días,
os escribo porque tengo contratada la Fibra ADSL con Movistar y, haciendo un escaneo de puertos a mi IP pública (obviamente, desde fuera de mi red local), veo que tengo abierto el puerto 80 (HTTP). Sin embargo, entrando por SSH a mi router y ejecutando el comando "firewallrule show", veo la siguiente tabla de reglas:
> firewallrule show Incoming Rules: Packet count Name Interface Action Reject type Filter criteria 0 Default_TR069 ppp0.1 Permit Protocol: TCP or UDP Src IP: 80.58.63.128 Src Mask: 255.255.255.128 Dst Port: 7547 : 7547 0 ICMP ppp0.1 Permit Protocol: ICMP IcmpType: echo-request 0 SSH_22_Range1 ppp0.1 Permit Protocol: TCP Src IP: 80.58.63.128 Src Mask: 255.255.255.128 Dst Port: 22 0 SSH_22_Range2 ppp0.1 Permit Protocol: TCP Src IP: 172.20.25.1 Src Mask: 255.255.255.0 Dst Port: 22 0 SSH_22_Range3 ppp0.1 Permit Protocol: TCP Src IP: 172.20.45.1 Src Mask: 255.255.255.0 Dst Port: 22 0 SSH_22_Range4 ppp0.1 Permit Protocol: TCP Src IP: 193.152.37.192 Src Mask: 255.255.255.240 Dst Port: 22 0 HTTPS_443_Range1 ppp0.1 Permit Protocol: TCP Src IP: 80.58.63.128 Src Mask: 255.255.255.128 Dst Port: 443 0 HTTPS_443_Range2 ppp0.1 Permit Protocol: TCP Src IP: 172.20.25.1 Src Mask: 255.255.255.0 Src Port: 443 0 HTTPS_443_Range3 ppp0.1 Permit Protocol: TCP Src IP: 172.20.45.1 Src Mask: 255.255.255.0 Dst Port: 443 0 HTTPS_443_Range4 ppp0.1 Permit Protocol: TCP Src IP: 193.152.37.192 Src Mask: 255.255.255.240 Dst Port: 443 0 Telnet_23 br0 Drop Protocol: TCP or UDP Dst IP: 192.168.1.1 Dst Mask: 255.255.255.255 Dst Port: 23 0 FTP_21 br0 Drop Protocol: TCP or UDP Dst IP: 192.168.1.1 Dst Mask: 255.255.255.255 Dst Port: 21 0 Default_7547 br0 Drop Protocol: TCP or UDP Dst Port: 7547 0 Default_44401 br0 Drop Protocol: TCP or UDP Dst Port: 44401 0 Default_1990 br0 Drop Protocol: TCP or UDP Dst Port: 1990 0 FTP_21_IPv6 br0 Drop Protocol: TCP or UDP Dst v6 IP: FE80:0000:0000:0000:E241:36FF:FEB4:F2DC Dst v6 Prefix Length: 128 Dst Port: 21 0 Telnet_23_IPv6 br0 Drop Protocol: TCP or UDP Dst v6 IP: FE80:0000:0000:0000:E241:36FF:FEB4:F2DC Dst v6 Prefix Length: 128 Dst Port: 23 Outgoing Rules: Packet count Name Interface Action Reject type Filter criteria > CLI exiting now.
Dado que desde hace un tiempo tengo fundadas sospechas de que alguien está espiando los datos de mi red local, me gustaría preguntaros por qué mi IP pública tiene abierto el puerto 80.
Gracias.
Un puerto abierto no es necesariamente peligroso!
Estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos. Así que no hay una razón para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, simplemente no funcionaría internet!---->NO CIERRES EL PUERTO 80, SI LO CIERRAS NO PODRÁS NAVEGAR POR INTERNET.
Amigo @lbeltran, de lo que expone el compañero se entiende que se refiere a las conexiones entrantes hacia su LAN, en las que obviamente y salvo que tenga un servidor web habilitado, no tiene motivo alguno para querer tener abierto el puerto 80, ni pierde Internet como dices si lo cierra.
Es más, eso que dices de "sin tener puertos abiertos, no funcionaría Internet" no es así, ya que sólo tienen necesidad de estar abiertos los puertos a la escucha (los que funcionan en una aplicación "servidor"), para navegación se asignan, abren (normalmente con "binding" para no poder ser usados por otro proceso) y cierran dinámicamente puertos aleatorios del sistema. Igualmente estoy en total desacuerdo en que "Estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos", ya que más allá de eso, se pueden aprovechar vulnerabilidades, puedes publicar a Internet información privada, etc, por dar visibilidad pública a puertos que no debes.
Pero quitando temas técnicos de carácter general, en lenguaje "de calle" normalmente cuando alguien habla de puertos abiertos se refiere a una de dos: o un servicio a la escucha en el router o puerto redireccionado a un equipo de la LAN. En el caso que nos ocupa, y suponiendo que no exista ninguna regla NAT que redireccione el puerto 80 a un PC de la LAN, no debería estar abierto, ya que el único sentido sería la gestión vía web del router desde Internet, y esto no debe estar activo (Movistar gestiona desde red por TR069 y el usuario como mucho debería gestionar por HTTPS en puerto 443, jamás por HTTP en puerto 80. Y ya por 443 en WAN es delicado...yo no lo haría).
Yo verificaría que no hay ninguna regla NAT para este puerto hacia una máquina de la LAN. Caso negativo, verificaría que no haya ninguna máquina configurada como DMZ (esto también redireccionaría el puerto aunque no haya server activo en ese hosts). Si también es negativo, haría pruebas desde el exterior por HTTP a ver si el puerto realmente está aceptando conexiones o puede ser aprovechado para alguna vulnerabilidad.
Hago hincapié en el tema de redireccionamiento porque en las reglas de firewall que nos muestra @kaler0, se ven reglas de "Incoming" y "Outgoing", pero no de "forwarding", lo que me hace pensar que son reglas aplicadas sólo al trafico cuyo origen/destino dea el propio router, pero no aplicadas a tráfico de tránsito LAN<->WAN.
Saludos
Hola kaler0 bienvenid@ a la Comunidad Movistar:
Tal como indica Dracot, gracias por tu aportación, no tiene motivo alguno para querer tener abierto el puerto salvo que tenga un servidor web habilitado y no pierde Internet si lo cierra. Debes verificar que no hay ninguna regla NAT para este puerto hacia una máquina de la LAN, Caso negativo, verificar que no haya ninguna máquina configurada como DMZ, Si también es negativo, haz pruebas desde el exterior por HTTP a ver si el puerto realmente está aceptando conexiones o puede ser aprovechado para alguna vulnerabilidad.
Saludos. M. Carmen.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
¡Hola kaler0!
Desde mi respuesta a tu incidencia no he recibido contestación, por lo que entiendo que se ha solucionado tu incidencia.Procedo a cerrar el hilo.
Te agradezco que te hayas puesto en contacto con la comunidad de movistar y estaré encantado de poder ayudarte para futuras incidencias.
Un saludo.
Samuel
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es