Hola, 

gracias por la pronta respuesta. Quisiera plantear dos questiones:

1.- Supongamos que quiero bloquear el acceso entrante a una serie de IP concretas. ¿Como lo puedo realizar?.

2.- ¿Como puedo crear una cadena nueva para que afectase al tráfico reenviado permitiendo todo por defecto, y sobre ella crear las reglas que uno quisiese para bloquear el tráfico de ciertos orígenes?

El equipo expuesto tiene habilitado un firewall y rechaza todo el trafico no identificado pero aun así me gustaría cortar el acceso a ciertas IP repetitivas  que están intentando entrar en este servicio.

Gracias y un saludo.

Buenas @uberiain 

No tengo claro que te refieres con rechazar todo el tráfico no identificado, si te refieres a un control de acceso en el que bloquee en todo caso a una IP o similar después de X intentos, no es un Firewall. Precisamente la función de un Firewall es en esencia monitorizar el tráfico o cierto tráfico, y decidir que hace con él, si lo filtra o lo permite, en función de diferentes reglas.

Como tampoco sé que servicios estamos hablando ni nada por el estilo, de todos modos es hablar por hablar, pero cualquier dispositivo expuesto de la red local, siempre se tendrían que tomar unas medidas mínimas, y hablo de mínimas, sobre todo si hay información sensible/personal, o es un dispositivo  importante:

1º. Jamás usar los puertos conocidos, ocultar siempre el servicio detrás de otro puerto. El del dispositivo puede usarse el mismo, el externo del Router no, usar un puerto alto aleatorio. Esto no afecta en nada al uso personal, y automáticamente evita el 99% (o más) de cualquier intento, sin necesidad de firewall, de problema de rendimiento ni de nada. Y para el uso propio lo único que hay que hacer en todo caso es en la aplicación o navegador o utilidad que sea que usa dicho servicio es especificar correctamente el puerto, nada más.

2º. Jamás exponer más servicios de los necesarios, esto va sobre todo para los usuarios que hacen uso de NAS, que están muy de moda ahora, y usan upnp, con lo que normalmente se autoexpone mucho más por lo general, permitiendo el acceso a servicios que no deberían

3º. Usar un Firewall, gestionar como mínimo una lista blanca o una lista negra, para rechazar cualquier conexión de cualquier ruído de Internet. Los ataques de fuerza bruta son efectivos si se usan contraseñas mediocres, y estos se pueden evitar de forma sencilla con control de acceso y bloquear cada X. Pero el verdadero peligro son las vulnerabilidades, y contra eso un solo intento sobra.

-----------

El problema de gestionar todo esto con el Router, es que un router doméstico no te va a dar las herramientas necesarias para ello. Vas a poder introducir en el mejor de los casos unas cuantas IPs/rangos, nada más, y sin contar con que el rendimiento puede caer. El Firewall del Router puede valer en todo caso para lo contrario, es decir, para permitir sólo unas cuantas IPs. Es por ejemplo el uso que hace Movistar para permitir el acceso al Router sólo desde sus equipos de gestión. Es decir, hacen uso de una "lista blanca". Pero esto a un usuario doméstico no suele servirle de nada porque no sabe que IP tendrá o que red usará. Y usar "listas negras" se hace totalmente inviable.

Yo uso mis propias listas que voy actualizando poco a poco, y uso tanto listas blancas como listas negras. Para que te hagas idea, la lista negra cuenta con más de 400 entradas entre redes e IPs, lo que suman más de 20.000 orígenes que se bloquean. La lista blanca son más de 15.000 entradas. si bloqueas 3-4 IPs sin tener en cuenta los puntos anteriores, mañana serán otras 4-5, y pasado mañana serán 10, luego serán 100, luego serán... vamos, te lo digo porque es algo que veo y controlo diariamente. Y esto con un Router doméstico te puedes olvidar, pero debería de ser extremadamente sencillo de configurar en el dispositivo al que se quiere acceder. Si es un sistema Windows, es sencillo. Si es un sistema Linux/Unix es sencillo. Si es un Router...

---------------------

En los HGU, en todos o casi todos se debería de poder hacer, pero como digo para cosas muy puntuales y siempre pensando más en lista blanca que negra, es decir, permitir todo y bloquear solo X, sería lista negra, bloquear todo y permitir sólo X, sería lista blanca. Listas blancas.. OK. Listas negras... mal negocio.

Instrucciones específicas para cada HGU es más complicado porque hay ahora mismo al menos 8 HGU si la memoria no me falla, y todos tienen un software diferente, aunque el procedimiento por lo general es el mismo, del mismo modo que es el "mismo" en cualquier otro Router si se realiza por Interfaz Web. Primero suele ser necesario crear una cadena en la que se establece la interfaz a la que está asignada, la política por defecto (permitir o bloquear). Dependiendo de la interfaz usada, tendrá más o meno sentido hacer lo que queramos hacer. Si usamos la interfaz WAN de Internet, pues en este caso no serviría de nada porque el tráfico no es entrante al Router, ya que se está reenviando.

Una vez la nueva cadena se ha creado, se pueden agregar ya filtros específicos sobre esa cadena. Si la cadena por defecto lo bloquea todo, crearemos entradas para aquellos que sí queremos permitir. O al revés, si la cadena lo permite todo, podremos añadir entradas a bloquear.

No puedo ser más específico, puesto que como digo todos lso HGU son diferentes. En cualquier caso he tenido ese HGU mucho tiempo y se puede "apañar" para ello, pero repito, para lo que pretendes no es útil y no vas a estar más protegido.

Saludos.

Hola, 

concretamente me refiero a bloquear el acceso a una serie de IP. 

Internamente los servicios expuestos esta cubiertos con un firewall, pero me molesta la presencia de ciertas IP que son siempre las mismas intentando acceder a estos servicioss, por ello es por lo que las quiero bloquear a nivel de router.

Lo he intentado configurar en IP filtering dentro de las reglas que están definidas para el acceso por parte de telefónica, pero no logro hacerlo funcionar, Tampoco encuentro documentación sobre como poder realizar esto.

Por ejemplo una entrada que sea: reject x.x.x.x to all lan ip and all ports.

Un saludo.

Buenas @uberiain 

Bloquear una IP a nivel de dispositivo es exactamente igual que bloquearla a nivel de Router, el Router simplemente está reenviando el tráfico porque tendrás una regla en PortForwarding.

Como te he dicho, no puede funcionar si lo configuras en las mismas reglas que están las de Movistar, poner eso ahí no tiene absolutamente ningún tipo de sentido, no es que no logres hacerlo funcionar, es que no puede funcionar. Ahí lo tendrías que colocar sólo si el servicio al que se quiere acceder está en el propio Router, no en un dispositivo de tu red. Es en esencia como funciona iptables.

Los Router, sea el que sea, no pueden exponer en su interfaz Web porque sería totalmente impensable todas las combinaciones posibles que puedan existir a la hora de configurar iptables. La única forma de permitir esto es un cuadro de texto en el que se pueda introducir directamente el comando iptable deseado, y para eso ya tienen los Router avanzados accesos a la Shell interna, para crear las reglas que uno requiera.

Los Firewall de cualquier Router, sobre todo los domésticos, están específicamente orientados a lidiar con el tráfico dirigido al Router (Entrante), no dirigido  a un dispositivo de tu red (Reenviado), ya que por defecto NAT ya protege toda tu red de forma automática. Eres tú al crear una redirección de puertos el que está creando un agujero que se salta la protección que ofrece NAT. Esto hace que cualquier interfaz Web de cualquier Router doméstico tenga bastantes limitaciones a la hora de especificar perfectamente que se quiere o no bloquear/permitir. Y todo ello como digo con total independencia de los problemas comentados, que te iba a servir poco, en poco tiempo ibas a tener que ir ampliando enormemente la lista, créeme.

Puede parecer un poco incomprensible, pero no es algo tan sencillo decir: bloquear x.x.x.x a toda la red interna. Porque lo primero que cualquier Firewall diría ante ello es que cual es el origen del tráfico. Para cualquier dispositivo es extremadamente importante conocer si un tráfico es generado de forma propia, interna, externa... porque el tráfico transcurre por el propio Router/dispositivo de formas muy diferentes. Quizás esta imagen de como se estructura internamente iptables pueda explicarlo mejor:

Como ves, tiene un poquito más de "miga". Los cuadritos de colores son diferente tablas internas, y cada una de ella tiene por lo general diferentes cadenas, y cada cadena puede tener un número indeterminado de entradas (filtros). Esto no puede exponerlo en una interfaz Web un Router. Dado el uso de un Router doméstico, por lo general siempre va a actuar sólo en la cadenas INPUT (que usa la tabla mangle o filter por lo general), que es el tráfico dirigido al Router.

Pero al crear una redirección, el tráfco ya no es de entrada (INPUT), no va hacia el Router, va hacia otra red, por eso son redirecciones, así que va a las cadenas FORWARD, que usan las tablas mangle y filter. Uno podría decir que se puede filtrar de forma "universal" antes, si te fijas bien, antes que FORWARD tan solo tendríamos la opción de usar PREROUTING. Pero estas cadenas se usan para otros propósitos, los filtros, prácticamente todos, se realizan sobre la tabla filter, en la que se crean las cadenas que sean necesarias.

---------------------

Con los Router domésticos por lo general, lo único que puedes hacer con suerte es emular/simular una entrada creada, pero habría que hacerlo sobre una cadena nueva que pudiese el Router crear en la tabla FILTER, y que "añadiese" a la cadena FORWARD. Dado que los Router domésticos no permiten este grado de control, y mucho menos por interfaz Web, es tener buen tino a la hora de crear la cadena nueva, los ajustes configurados con suerte hacen que el Router la coloque en la tabla adecuada, en al cadena adecuada.

Espero que así se entienda un poco mejor, sé que es un poquito lioso (mucho) si nunca se ha lidiado con iptables.

Saludos.

Hola,

la funcionalidad que busco es similar a la que se realiza asi:

iptables -A INPUT -s [IP] -j DROP

Siendo IP la dirección externa.  La pregunta es:

¿He de añadir una entrada nueva en IP Filter? ¿Sobre cual Interface?.

Segundo paso:

¿Cual ha de ser la filter rule a definir?.

Un saludo.

Buenas @uberiain 

No compañero, como te he dicho eso no bloquearía absolutamente nada, eso es lo que hace las reglas que están ya metidas por Movistar, o lo que hace la regla que dices que has intentado meter, y por eso no funciona. Las reglas de un Router del Firewall por lo general son introducidas en INPUT, es decir, al tráfico dirigido al Router. Esto no tiene absolutamente nada que ver con el tráfico redirigido.

Si miras la imagen que he puesto, el tráfico el tráfico que viene (desde donde sea) hacia el Router, lo primero que hace es pasar a prerouting. De preoruting tiene dos opciones. O es tráfico dirigido al propio Router, y pasaría a input, o es tráfico destinado a otra red, que sería forward.

Dado que es tráfico que viene desde Internet y va dirigido a tu red interna porque tienes creada una redirección, es tráfico redirigido/reenviado/forward o como lo quieras llamar. NO ES TRAFICO DE ENTRADA.

Ejemplo de tráfico de entrada (input) es por ejemplo si uno quiere gestionar de forma remota el Router, y acceder a su interfaz Web. Entonces el tráfico se origina en Internet, y el destino no es tu red interna, es el Router. Eso es tráfico de entrada. También es tráfico de entrada si desde tu red local quieres acceder a tu Router, eso es tb tráfico de entrada. Cada vez que cualquier equipo de tu red accede a Internet, es tráfico reenviado para el Router.

Y es por ello por lo que los Firewall de los Router actúan sobre INPUT, y no sobre Forward, porque de facto el Router ya bloquea todo el tráfico Forward desde Internet a tu red local.

Así que la regla no sería de ese modo, sería realmente algo así:

iptables -t filter -A FORWARD -i X -o Z -s IP -j DROP

Donde:
X sería la interfaz de Internet del Router
Z sería la interfaz del bridge principal del Router
IP sería la IP/red que se quiere bloquear
y sin tener en cuenta puerto o protocolo, si se quiere afinar más pues habría que especificarlo tb.

-----------------

Y eso por eso por lo que por lo general hay que hilar muy fino si se quiere con un router doméstico filtrar cualquier tráfico de este tipo, porque de forma natural el Router ya lo está bloqueando, eres tú el que al crear la redirección, estás creando el agujero en el Firewall. Y esto sucede porque, repito, de facto, el Router ya posee una regla que bloquea todo el tráfico reenviado. Es decir, que el Router ya posee una regla que es:

iptables -A FORWARD -j DROP

Bueno, este realmente no tiene esa regla porque tienen muchas otras cadenas intermedias, en FORWARD pasa a otra luego a otra luego a otra... pero el final es el mismo, termina en eso. Pero cuando creas una redirección de puerto, creas reglas encima de esa regla para los puertos que sean, como están por encima, el tráfico se permite y pasa a tu red local, y no se bloquea. Así que la única forma de bloquearlo implica crear una regla por encima de todas ellas, para que se aplique ANTES de la redirección establecida obviamente.

Y aunque en principio es posible hacerlo, requiere como he dicho crear una cadena nueva en el Firewall, tener suerte que la ajuste antes de la redirección, y tener cuidado con las interfaces que entran en juego. Dependiendo del HGU que sea, la suerte, y la mano que se tenga, pues funcionará o no funcionará. Si se logra colocar la regla ANTES de que se haga efectiva la redirección, funcionará, si la redirección entra en juego antes... no funcionará.

Saludos.

Hola @Theliel 

entiendo que lo que estoy planteando es muy complicado y por ello estoy pidiendo si alguien con algún conocimiento mas profundo del  Askey HGU RFT3505VW, me puede ayudar en la configuración de las reglas necesarias para intentar conseguir lo que deseo.

Puede resultar muy difícil pero espero que no resulte imposible.

Un saludo.