Solucionado: bloquear una ip concreta

jcoloma · ‎10-10-2019

Buenas tardes,

Tengo un pequeño servidor en casa y desde hace mas de un mes están saltandome avisos de ataques continuos desde la ip 46.161.27.122

se puede configurar el firewall del router para que esa ip en concreto quede completamente bloqueada? He intentado habilitar una regla de drop en el firewall pero algo debo estar poniendo mal. Mi router es mitrastar HGW-2501GN-R2

gracias de antemano

Theliel · ‎11-10-2019

Buenas @jcoloma

Define avisos de ataques. Cualquier servicio expuesto al exterior va a estar sometido automáticamente a bombardeo externo.

El Firewall del Router por lo general aplica reglas al tráfico entrante, no al tráfico reenviado. El tráfico entrante es todo el tráfico que se dirige hacia el Router, no hacia un equipo de tu red. Cuando el Router toma un tráfico y lo envía a otra red diferente (por ejemplo el tráfico WAN pasarlo a LAN) es un tráfico reenviado, y el firewall usa tablas diferentes.

En los equipos de movistar se puede trampear. Es necesario crear una cadena nueva, pero esta que no sea sobre la interfaz pppoe, sino sobre el bridge principal, generalmente br0, y ahí en todo caso poner la regla.

De todos modos es infinitamente más rápido y práctico en el servidor tuyo configurarlo para bloquear la conexión y listo, que ya sea un sistema Linux o Windows, no tendrá problema alguno de bloquear lo que quieras.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Técnico-Movistar · ‎11-10-2019

Hola @jcoloma !

Ante la consulta realizada y la información aportada por @Theliel ( gracias por tu aportación ) ¿ has podido bloquear la dirección Ip a través del servidor ?

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

jcoloma · ‎11-10-2019

Hola,

lo primero, gracias por la aportacion.

Soy consciente que cualquier equipo conectado a internet esta expuesto a ataques y no lo digo por cualquier tipología de ataque,... por eso detallaba el caso pero expongo algo mas de informacion:

El servidor en cuestion es un servidor NAS Synology que tengo para mis documentos personales, fotos familiares etc y me conecto por vpn en ocasiones puntuales. Este tipo de servidores permiten activar notificaciones de bloqueos de ips cuando se realizan varios intentos seguidos infructuosos y en este caso, desde esta ip de manera continuada desde hace meses está realizando intentos de conectarse a mi vpn. No es una cosa puntual y siempre es la misma ip, por lo que me he planteado que ni siquiera pueda llegar al servidor baneandolo desde el propio router y no permitiendo la conexion desde la ip en cuestion.

Espero haberme explicado.

En la interfaz avanzada del router veo la parte del firewall pero no quiero tocar nada sin consejo de alguien que ya haya hecho algo en esta linea o algun tecnico de movistar.

Gracias de nuevo a todos

Theliel · ‎11-10-2019

Buenas @jcoloma

Como te he dicho, he creado en muchas ocasiones reglas de todo tipo en los equipos de Movistar, y muchas veces bloqueos y permisividad para el tráfico reenviado. Específicamente también para ese Router, tengo aun uno por aquí en algún sitio, lo he perreado mucho.... no me acuerdo de memoria la interfaz Web ni el punto exacto, pero se hace también sin mayores problemas, te puse antes que es y como hay que hacerlo de forma genérica.

Respecto al NAS, aunque personalmente prefiero infinitamente más los equipos de QNAP, Synology permite también bloquear IPs sin problema alguno en su Firewall interno por si te es más cómodo o más gráfico.

Y en cualquier caso, te repito, si tienes los servicios del NAS expuestos en sus puertos conocidos, vas a seguir sufriendo ese tipo de ataques. Si los intentos son a VPN, usa OpenVPN si no es lo que estás usando ya, y usa UDP con un puerto alto aleatorio que te guste, por ejemplo 24123. Si usas PPTP o IPSec por ejemplo que por lo general trabajan de forma muy ceñida a un puerto específico, tienes problemas.

Respecto que no creas que es un ataque puntual, te puedo demostrar perfectamente que lo es. En mi red voy vigilando el diferente ruido de fondo que hay en Internet, y creo registros y listas negras en mi Router a raíz de esto. En mi caso no tengo ningún puerto conocido expuesto en mi red, aunque registro el tráfico que llega a algunos de esos puertos para detectar tráfico sospechoso, aunque de cualquier forma el Router los fuese a bloquear.

Mira lo que pasa después de unas horas de funcionamiento:

Theliel@LILITH:/tmp/home/root# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination ...
...
   63  2520 DROP       all  --  *      *       185.209.0.0/24       0.0.0.0/0
   65  2600 DROP       all  --  *      *       185.153.196.0/22     0.0.0.0/0
  421 16840 DROP       all  --  *      *       46.161.27.0/24       0.0.0.0/0
....
......
   21   876 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3389 LOG flags 0 level 6 prefix "RDP"
  120  8542 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723 LOG flags 0 level 6 prefix "PPTPD"

Eso es constante, y no solo para esos dos puertos conocidos. Al día cualquiera de nuestros Routers bloquea miles de conexiones entrantes "ruido", muchas de ellas reincidentes. Por qué?? Sencillo, porque si han detectado que tenemos abierto un servicio conocido, nos "marcan" en sus listas e intentan obtener información de dicho servicio. Nada preocupante después de todo, pero lo primero y mucho más importante es no usar puertos conocidos

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

jcoloma · ‎11-10-2019

Hola @Theliel

de nuevo muchas gracias por tu ayuda y alta implicacion.

He activado el firewall de la NAS y lo bloquearé a ese nivel, pues como dices es más fácil de gestionar. Soy consciente de no publicar servicios en puertos comunes y así lo tengo hecho, pero segun muestra la pagina de shodan esta ip está realizando esta practica hace tiempo.

De nuevo gracias por tu ayuda. Cerraré el hilo en unos dias cuando verifique que todo funciona como debe.

Un saludo

Técnico-Movistar · ‎11-10-2019

Hola @jcoloma !

Me alegra saber que con la información y ayuda de @Theliel puedas solucionar la consulta.

No hay problema, dejamos el hilo abierto para que puedas ir observando, cuando realices la configuración, si funciona todo correctamente.

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎14-10-2019

Hola @jcoloma !

No hemos vuelto a tener noticias tuyas.

¿ Has podido observar en éstos días que tras la configuración todo sigue correcto ?

Me mantengo a la espera de tu respuesta.

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

jcoloma · ‎14-10-2019

Buenos dias,

no he tenido tiempo de mirar los logs del firewall a ver si está funcionando. En cuanto pueda lo reviso. gracias

Técnico-Movistar · ‎14-10-2019

Hola @jcoloma !

No hay problema, no te preocupes, dejamos el hilo abierto para que, cuando tengas disponibilidad, puedas realizar las comprobaciones.

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎15-10-2019

Hola @jcoloma !

Seguimos dejando el hilo abierto para que puedas realizar las comprobaciones.

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

jcoloma · ‎15-10-2019

Buenos dias,

Parece que con la configuracion aplicada en el firewall de la NAS están ignorandose los paquetes recibidos desde la ip mencionada.

Entiendo que esta configuracion tambien debería poder hacerse en el propio firewall de router, no es así? Desde Telefonica nadie ha respondido a esta consulta mas allá de querer cerrar el hilo 😉

Si resuelven la duda original podemos cerrar el hilo.

Saludos

Técnico-Movistar · ‎15-10-2019

Hola @jcoloma !

Siento indicarte que ante éste tipo de consultas sobre configuraciones avanzadas, no podemos darte soporte, por ello dejamos el hilo abierto, para que otros usuarios, en éste caso @Theliel ( gracias nuevamente por tu aportación ), que hayan realizado ésta configuración, puedan ayudarte con su experiencia.

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Theliel · ‎15-10-2019

Buenas @jcoloma

Te dije a groso modo como se debería de poder hacer en el Router. Por otro lado, el NAS no tendría que tener problema alguno de filtrar el tráfico que le pongas, he configurado montones de ellos y jamás se han saltado tampoco una sola regla configurada.

Al margen de eso, Movistar posiblemente se va a lavar las manos, es decir, el equipo que ponen es un equipo residencial, no profesional, no esperes que te faciliten información o incluso soporte para configuraciones más concretas, donde es además posible que el Router no esté preparado correctamente. Para eso la mayoría usamos nuestros propios equipos

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

jcoloma · ‎15-10-2019

@Theliel muchisimas gracias por todas tus aportaciones, todas de mucho valor!

@Técnico-Movistar gracias por participar 😋

saludos

Técnico-Movistar · ‎15-10-2019

Hola @jcoloma !

Me alegra saber que con la ayuda de @Theliel hayas podido solventar tu consulta.

¿ Podemos ayudarte con alguna otra consulta o gestión ?

Gracias, un saludo, Mar.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎16-10-2019

Hola jcoloma,

al no plantear más consultas por tu parte, esperamos que todo vaya bien. 🙂

Vamos a cerrar este hilo pero recuerda que puedes ponerte en contacto con la Comunidad Movistar siempre que lo necesites. 😉

Un saludo,

Víctor

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Soporte Fibra y ADSL

bloquear una ip concreta