Reglas de Firewall que no me funcionan

Jujonet
Yo probé el VDSL
Reglas de Firewall que no me funcionan

Buenos día. Venimos de aquí

Ante la imposibilidad -de momento- de redirigir TODO el tráfico DNS a mis servidores, he optado por -de momento- bloquear el que no venga de los DNS que yo he puesto en el DHCP del router y a ver si los dispositivos que los tienen "hard coded" hacen fall-back a los que yo le digo....

 

En fin que entendiendo que el router lee las reglas del FW de forma secuencial, en el HGU Askey, en la configuración avanzada, en security IPv4, he insertado las 3 reglas que véis al final.

Por si no sale:

-permito el trafico UDP con destino al puerto 53 desde 192.168.1.9/255.255.255.255 

-permito el trafico UDP con destino al puerto 53 desde 192.168.1.8/255.255.255.255 

-Hago un drop del trafico UDP con destino al puerto 53 que  viene desde 192.168.1.0/255.255.255.0 

 

*la 8 y la 9  son mis dos DNS

Pues bien; no me funciona. El fw sigue permitiendo el tráfico cuando hago una petición DNS desde otros dispositivos de la red (sin para por 8 o por 9).

 

¿Qué estoy haciendo mal?

reglas_fw.jpg

Gracias y saludos

 

 

Etiquetas (3)
Mensaje 1 de 14
3.528 Visitas
13 RESPUESTAS 13
Técnico-Movistar
Técnico Banda Ancha

Hola Jujonet bienvenid@ a la Comunidad Movistar:

 

Sentimos indicarte que desde la Comunidad no damos soporte a configuraciones avanzadas en los equipos.

 

De todos modos dejamos el hilo abierto por si algún otro usuario puede ayudarte.

 

Saludos. M. Carmen.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 14
3.507 Visitas
Jujonet
Yo probé el VDSL

Bueno, 

no creo que sea una configuración "avanzada". Sólo quiero saber si las reglas se escriben de esta forma, y si el router las lee de forma secuencial. Solo quiero cerrar el puerto 53 de salida en UDP excepto para dos dispositivos.

 

Simplemente me podéis confirmar si esto es correcto?

 

Gracias

Mensaje 3 de 14
3.471 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola Jujonet:

 

Te indicamos que la consulta que nos propones se trata de una configuración avanzada en el router, ya que no es necesaria para un normal funcionamiento del servicio con el router suministrado.

 

Dejamos el hilo abierto por si algún otro usuario desde su experiencia puede ayudarte.

 

Saludos. M. Carmen.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 4 de 14
3.448 Visitas
Jujonet
Yo probé el VDSL

Muchas gracias por tu respuesta Mari Carmen. Permíteme replantear mi duda para que no sea considerada una "configuración avanzada"

 

- ¿El router lee la reglas del firewall de forma secuencial?

- ¿Las reglas del firewall aplican tanto a conexiones entrantes como salientes?

 

Gracias

Mensaje 5 de 14
3.444 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola Jujonet:

 

Aunque replantees tu duda tu consulta se refiere a una configuración avanzada en el router no necesaria para el funcionamiento del servicio que presta Movistar y no tenemos visibilidad sobre este tipo de configuraciones.

 

Podemos dejar el hilo abierto para que algún otro usuario desde su experiencia puede ayudarte.

 

Saludos. M. Carmen.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 6 de 14
3.409 Visitas
Jujonet
Yo probé el VDSL

A ver, ahora he tirado por donde no quería tirar que es por el lado de las rutas. He creado una (dos) rutas estáticas para las DNS de google en la creencia que son las que más tendrían "empotradas" los dispositivos e intentando redireccionarlas... por éxito a medias.

Le digo que la ruta hacia 8.8.8.8 y 8.8.4.4 van por 127.0.0.1 pero el router simplemente las bloquea... bueno, no es lo que pretendía, pero no esta mal del todo (quitando que me genera tráfico).

 

Alguna idea usando rutas estáticas para que me resuelva contra mi DNS particular?

 

Gracias

 

routes.jpg

Etiquetas (4)
Mensaje 7 de 14
3.384 Visitas
Theliel
Yo probé el VDSL

Buenas @Jujonet 

 

El Router lee las reglas bien, el problema está en el lugar donde las estás colando. Los equipos basados en sistemas Linux/Unix, y el 99% de ellos usan IPtables/Netfliter. Estos usan tablas, dentro de las tablas cadenas, y dentro de las cadenas reglas. Y dichas reglas, por lo general, especifican también las interfaces a las que se aplican.

 

Tu problema radica para empezar, que las estás introduciendo en una cadena que se aplica exclusivamente a la interfaz ppp en sentido entrante. Quieres filtrar tráfico que sale de LAN y va hacia el Router, con lo que esas reglas no se van a aplicar jamás.

 

Para usar el FW para eso tienes primero que crear en el Router una "cadena"/"seccion" (no confundir con las cadenas de iptables) que por defecto use una política permisiva, de tráfico entrante desde el bridge, que creo que movistar usa siempre la interfaz br0. Y una vez creada dicha sección/cadena añadir allí las reglas que quieras... en esa, no en  en tráfico entrante por PPP



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 8 de 14
3.376 Visitas
Jujonet
Yo probé el VDSL

Buenas @Theliel 

En primer lugar darte las gracias por orientarme por dónde tirar....
Creo qeu lo he hecho bien, pero sin embargo si hago un nslookup desde un dispositivo <> 192.168.1.9/192.168.1.8 poniendole yo las DNS que me plazcan... sigue resolviendo...
Sabemos que el Fw funciona? o está "de adorno"?

 

Gracias

 

firewall.jpg

 

 

Mensaje 9 de 14
3.365 Visitas
Theliel
Yo probé el VDSL

buenas @Jujonet 

 

Las imagenes tardan en poder verse, te recomiendo ponerlas en algun lugar externo y poner el enlace.

 

Si quieres comprobar si funciona bien, crea una regla en la sección adecuada para filtrar un equipo concreto de la red al Router, verás como funciona. Yo uso un par de reglas localees para filtrar contenido que no me interesa que el router saque.

 

Con las DNS debería de ser igual, si bloqueas el 53 UDP y TCP hacia el router, las peticiones DNS no deberían de ir de vuelta. Usa un analizador de paquetes para verlo mejor.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 10 de 14
3.355 Visitas
Jujonet
Yo probé el VDSL

Buenas @Theliel 

 

Muchas gracias por tu consejo.

 

Tal y como indicabas, creé la regla. Por si alguien llega aquí haciendo una búsqueda por el mismo motivo comento lo que hice:

 

1.-  Creé una regla permisiva (default action=permit) del interface "all LAN"; (br0 no funcionaba inexplicablemente) y del tipo IN. Inexplicablemente hay que poner que es una regla de tráfico entrante en lugar de saliente. No me explico por qué.... pero si ponía "out", eso no filtraba nada. Y la "bautizas" como tu quieras; pongamos "ethernet"

 

* Ahora ya podemos crear "filter rules" que pertenezcan a "ethernet" en los cuales permitimos acceso TCP y UDP a nuestros DNS locales (4 reglas; ya podrían permitir TCP y UDP en la misma) y prohibimos el acceso al resto.

 

* Todo funciona hasta que te das cuenta que has "capado" el DNS de los decos de IPTV 😢 que usan sus propias DNS de TV...... tienes a tu mujer y a tu hija en pie de guerra y tienes que dar marcha atrás....

 

En fin que lo que me creo que me queda será crear otra regla y marcar -entiendo- el rango de IP's en el que están los decos con una máscara que los "identifique". Digamos que si los tengo en 209 y 210 debería ser 192.168.1.209/255.255.255.252 

 

Y después volver a meter la regla general de denegación al resto

 

A partir de ahí debería funcionar, pero ayer no me dio tiempo.....

 

Lo dicho, muchas gracias

Mensaje 11 de 14
3.328 Visitas
Theliel
Yo probé el VDSL

Buenas @Jujonet 

 

Por lo general br0 tendría que funcionar, pero con tanta firmware si te soy sincero...

 

Respecto IN/OUT no es error, efectivamente es una regla IN, de entrada. El Firewall funciona siempre desde su propio punto de vista. Es decir, lo que quieres filtrar son las peticiones DNS desde la LAN hacia el router, ergo es tráfico entrante. Linux maneja, por así decirlo, 4 tipos de tráfico: Input/Entrante, que es el tráfico cuyo destino final es el Router. Output/saliente es el tráfico, y esto se importante, que genera el Router y lo saca hacia fuera, sea LAN o WAN. Luego tenemos Forward/Reenvío, que es todo tráfico que tiene que cambiarse de red... por ejemplo el tráfico de internet de cualquier equipo de tu red es Forward, se genera en LAN pero se envía fuera, y viceversa, viene desde fuera y el Router lo pasa a LAN. Para que fuese entrante tendría que ser tráfico dirigido expresamente al propio Router. Y por último el tráfico loopback o de retroalimentación, que es tráfico que se envía el Router a si mismo

 

Y sí, los decos usan su propio servidor DNS, en la regla tienes que especificar que no afecte a los intervalos del deco, o si usas un servidor DNS propio en tu red local, configurar este para que a los decos les asigne un servidor DNS apropiado.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 12 de 14
3.314 Visitas
Jujonet
Yo probé el VDSL

Hola @Theliel y demás

 

Creía que había respondido, pero se ve que o bien no le dí a enviar o se fue a spam del foro.... 🤔

Lo que hice es darle "autopista" al DNS de iptv (172.26.23.3) es decir permitir explicitamente la conexión a esa ip y de ese modo solo es una regla..... Total, por si alguien se encuentra en las mismas

1.- Permitir conexión desde red local hasta router (y dentro de esta)

      a) Permitir conexion desde nuestros dns-resolvers con destino puerto 53  (4 reglas)

      b) Permitir conexiones hacia 172.26.23.3 

      c) Denegar conexiones desde toda la red destino puerto 53 (2 reglas)

 

Y con esto funciona estupendamente (a nos que que en la próxima actualización del firm del Askey se "pulan" algo.....

 

Y con esto doy por solucionado el tema, no sin antes volverle a agradecer a @Theliel su orientación.

 

Un saludo

 

 

 

Abusando de

Mensaje 13 de 14
3.294 Visitas
Técnico-Movistar
Técnico Banda Ancha

¡Hola Jujonet!

 

No alegra que se haya solucionado tu caso. Con tu permiso procedemos a cerrar tu hilo.

 

Además te agradezco que hayas dado como solución, es importante y útil para los usuarios de la Comunidad utilizar estas respuestas para sus dudas.

 

■ Theliel como siempre muchas gracias por tus aportaciones.

 

Saludos, Katyana.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 14 de 14
3.284 Visitas