Regla de firewall en MITRASTAR GPT-2541GNAC

jmendiburu
Yo probé el VDSL
Regla de firewall en MITRASTAR GPT-2541GNAC
Hola, tengo un servidor web en mi LAN al que quiero acceder externamente por HTTPS. He creado un mapeo NAT del puerto 443 (https) a la IP interna (192.168.53.201) y puerto de escucha configurado en este servidor (6580). Hasta aquí, perfecto. Accedo al sitio web seguro desde fuera sin problema. Ahora, quiero restringir las IPs públicas que tienen acceso a este sitio, de manera que por omisión, no entre ninguna y que sólo puedan acceder aquellas a las que de permisos de forma explícita. He intentado crear reglas de firewall, pero no consigo el resultado esperado. ¿Es posible hacerlo? Gracias
Mensaje 1 de 7
6.555 Visitas
6 RESPUESTAS 6
JulioC-Movistar
Antiguo Moderador

Lo siento pero no es posible, no puedes limitar el acceso a una determinada IP actuando sobre el firewall del router.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 7
6.531 Visitas
jmendiburu
Yo probé el VDSL

Hola JulioC,

gracias por tu respuesta, pero, ¿estás completamente seguro? Si ves la lista de reglas del firewall que vienen por defecto, hay unas cuantas que otorgan acceso https (443) a IPs de gestión vuestras de Movistar, por lo que parece posible hacer lo propio para otras direcciones que no sean vuestras, no? El caso es que el router parece ignorarlas.

 

Saludos cordiales,

Mensaje 3 de 7
6.525 Visitas
JulioC-Movistar
Antiguo Moderador

Esas reglas afectan al tráfico dirigido directamente al router, sirven para dar acceso remoto al router, no a equipos conectados al router...



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 4 de 7
6.515 Visitas
JulioC-Movistar
Antiguo Moderador

Probablemente te pueda orientar esta contestación que en su día dio @Theliel  https://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-de-Fibra-%C3%93ptica/Regla-con-ASKEY-3505VW/m-...



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 5 de 7
6.509 Visitas
Theliel
Yo probé el VDSL

Buenas @jmendiburu

 

Siempre he dicho que "no es posible", por varias razones que ahora te expongo, aunque al menos en el ASKEY es factible, aunque no podría poner la mano en el fuego, y no tengo ganas de ponerme a ver si funciona.

 

1. La primera porque en lo personal carece prácticamente de interés en un equipo residencial el restringir conexiones externas, máxime cuando se puede ofuscar perfectamente el puerto externo, cuando la mayoría de todas las IPs actuales son dinámicas... etc etc etc. Filtrar por IP de entrada te es útil sólo cuando la IP de origen es bien conocida, y a menos que tengas una empresa o una IP fija contratada... y para eso en cualquier caso puedes ofuscar el puerto. Esto hace que el 99% de los usuarios no necesiten algo así

 

2. Por lo general la mayoría suele tener problemas simplemente abriendo un puerto, explicar como en teoría se podría hacer... y a eso súmale que actualmente tenemos varios equipos que suministra Movistar, es posible que lo que es válido para uno no lo sea para otro... es más, puede que con uno sea posible y con otro no. Al final yo puedo ayudar/asesor con lo que puedo hacer, con equipamiento que no tengo...

 

3. No hay garantía que funcione, la estructura interna que usa al menos el ASKEY es cuanto menos tediosa, y simplemente hacer el seguimiento de saltos de los paquetes por las diferentes cadenas es mareante.

 

-----------

 

Dicho todo eso...

 

Como te dice @JulioC-Movistar el comportamiento que por lo general se le da al Firewall del Router es filtrar el tráfico que va hacia el Router, no el tráfico reenviado, que sería una redirección de puertos. El Router trata el tráfico de forma diferente. Los filtros en el Firewall por defecto sólo se van a aplicar al tráfico INPUT.

 

Bien... la pregunta del millón es si se puede aplicar los mismos filtros a FORWARD, el tráfico reenviado. A nivel interno es muy simple, en vez de actuar sobre input, se actua sobre forward. Crear una interfaz que gestione esto de forma eficiente es complicado. En el ASKEY aun con todo es posible, o debería de ser posible, en el Mitrastar quizás también, pero yo no tentaría mucho la suerte, como la regla se coloque en mal sitio te puede dejar "cortado" el Router y tener que resetear.

 

La idea es simple aunque todo son supuestos. El ASKEY permite crear cadenas completas atadas a una interfaz, por defecto sólo está creada una cadena para el tráfico entrante WANipv4 y otra para el tráfico WAN ipv6, y ambas son relativas al tráfico entrante HACIA el Router. Una solución a esto, repito en el ASKEY, sería crear una nueva cadena, interfaz br0 para tráfico entrante, que por defecto permitiese todo el  tráfico.

 

Una vez creada la cadena principal con una política de aceptar tráfico, se podrían crear reglas para dicha cadena. Por ejemplo una cadena que especificase que el tráfico que viniese de la IP 1.2.3.4 hacia el puerto 443 se rechazara. Dado que dicha regla se colocaría en FORWARD, en la tabla Filters, se aplicaría ya al tráfico "nateado" hacia el servidor web.

 

Pongo una captura de ejemplo:

 

Captura.PNG

 

Ese ejemplo no tiene ningun sentido por la sencilla razón de que la política de br0 es permitir todo el tráfico y la regla que he creado también. Además tu esquema es inverso, es bloquear la conexión que no esté en una IP específica. Lo fácil sería especificar la cadena base con una política de DROP, pero si haces eso olvídate de volver a acceder al Router :). Así que en este caso se podría hacer un pequeño truco, que sería crear primero la regla mostrada, y acto seguido crear otra regla pero como origen del tráfico hacia dicho puerto 0.0.0.0, es decir cualquier IP. Las reglas se ejecutan en orden, así pues si la 1º regla se cumple al encontrar una IP correcta, la conexión se permite, de lo contrario se aplicaría la siguiente regla filtrando la conexion.... claro que eso siempre en el supuesto que la regla se aplicasen de arriba hacia abajo y no de abajo hacia arriba, en cuyo caso habría que invertir el orden, por la interfaz

 

Captura2.PNG

Eso, traducido internamente a como lo haría el ASKEY, quedaría algo asi en iptables:

 

Chain _FW_R_6_ (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       1.2.3.4              0.0.0.0/0            tcp dpt:443
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    6   325 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Esa cadena se aplicaría en algún momento dentro del tráfico FORWARD. Cuando se procesase, la primera cadena permitiría el tráfico dirigido al puerto 443 sólo si el origen fuese 1.2.3.4. Si fuese así se aceptaría, sino pasaría a la siguiente que denegaría cualquier conexión a dicho tráfico, y la última permitiría todo el tráfico FORWARD que no fuese a dicho puerto, es decir, la política por defecto de la cadena.

 

Como he dicho, posible tal vez, pero en lo personal creo que es ganas de complicarse la vida, y no puedo asegurar que pudiese funcionar en el Mitrastar o en otro modelo, cada equipo tiene una estructura interna diferente y aplican las reglas de otro modo.

 

No te compliques, ofusca el puerto y listo, es rápido, cómodo e igualmente efectivo

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 7
6.495 Visitas
jmendiburu
Yo probé el VDSL

Hola Theliel,

 

gracias por tu respuesta tan completa y con tanta información interesante.

La verdad es que ya he descartado hacerlo a través de reglas de firewall en el router Mitrastar, vista la complejidad de crear el interface y prepararlo todo, para que en cualquier momento, se cambie el router por otro y tenga que empezar de nuevo.

Tenía dos opciones: una, configurarlo en modo bridge o neutro y colocar detrás un firewall decente (he usado en varias instalaciones el TPLink TL-ER6120 con buen resultado y precio razonable) y otra, que es por la que finalmente he optado, activar un firewall por software en el propio servidor. Ya se que dejar entrar los paquetes hasta la cocina no es muy buena idea, pero salvo que el tráfico sea grande, de momento no me merece la pena la inversión. Ya está operativo y todo funciona como esperaba. 

Salu2!

Mensaje 7 de 7
6.463 Visitas