Tengo un router DSL-100HN-T1v4, y necesito abrir al exterior el puerto 80
Pues bien, después de configurar todo bien, y además desactivar el Firewall; los de Movistar me lo activan internamente, aunque en la pagina de administración se va desactivado.
Lo compruebo en los logs donde veo que hay denegaciones al puerto 80.
Todo esto me parece una [...] por parte de Movistar.
Hola Chemita2307.
No hemos recibido más comunicaciones por tu parte, por lo que creemos que no necesitas más ayuda. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.
Un saludo.
Angela.
Hola Chemita2307.
Lamentamos que no sea posible realizar la gestión que deseas con el router instalado. ¿Te podemos ayudar con alguna otra consulta?
Un saludo.
Angela.
Duda ninguna, que es obvio y cierto que desde Movistar capáis los Routers, de manera que es imposible tener en casa un servidor Web por el puerto 80 y 443.
Salvo que compre uno al que no podáis acceder para activar el CSF interno.
Hola Chemita2307
Agradecemos a Theliel su colaboración. ¿Te ha quedado alguna duda al respecto?
Un saludo.
Fernando.
Buenas Chemita2307
Copio/pego de mi anterior contestación, por si toda la demás literatura te ha mareado un poco:
"...Dichos puertos los usa el Router para uso interno, y por ende no puedes mapearlos a menos que la interfaz Web permitiese modificar los puertos de escucha del Servidor Web/SSH/otros"
No es del todo real, porque dependiendo del Router y de la habilidad del usuario se puede hacer un bypass a esto.
Saludos.
Tengo la redirección bien puesta, pero el router pasa de ella:
| http | 80 | 80 | 80 | 80 | 192.168.1.232 |
Buenas Chemita2307
No te estoy dejando de mentiroso compañero, en ningún momento he dicho que estés mintiendo.
Todo lo contrario, te he explicado perfecta y detalladamente cual es el problema, te recomendaría releeer lo que he escrito, literatura que debería ser bastante sencilla de comprender por cierto para un, cito: "experto en Linux y en Redes". Problema por cierto, que puedes ver en tu propio log de forma sencilla igualmente.
Pero por si no me he explicado correctamente, no tengo problema alguno de volver a repetirlo:
Los Router domésticos de Movistar (todos o casi todos al menos) poseen en su Firewall reglas por defecto para bloquear el acceso a los puertos 80/443/22, debido a que el Router los usa para uso propio, dado que tiene levantado el servidor Web para la gestión de este, y generalmente también el servidor SSH. De no existir dichas reglas en el FW del Router, estos servicios (los del Router) serían accesibles de forma externa, por lo que Movistar los protege denegando el acceso a ellos a menos que el origen no pertenezca a los equipos de gestión de Movistar, para los que si se concede acceso.
Dado que efectivamente en tu respuesta das a entender que efectivamente lo que estás intentando realizar es una redirección/apertura de puertos para exponer un dispositivo de tu red local hacia Internet, carece totalmente de sentido (y más para un experto en redes/linux) que pretenda solucionarlo modificando el Firewall del Router, ya que el 99% de los Firewall de los Router residenciales se aplican tan solo al tráfico Entrante, no al tráfico Reenviado (que a fin de cuenta está protegido por NAT), matiz de enorme importancia, puesto que el tráfico entrante es el tráfico destinado al Router, y el reenviado sería el destinado a un equipo de la red local.
Esto quiere decir que el deshabilitar el Firewall del Router o modificar cualquiera de sus reglas generalmente lo único que haces es exponer hacia internet los servicios internos del Router, (lo cual por cierto es una idea pésima), no, como has dado a entender equivocadamente, permitir o denegar el acceso a la red local, lo cual para ello ya se encarga automáticamente NAT, bloqueando de facto cualquier acceso externo hacia la red local, de ahí la necesidad de la apertura de puertos para poder hacer uso de servicios dentro de la red local.
-----------
Con todo esto, y con la contestación anterior, te repito el problema de base. Dichos puertos los usa el Router para uso interno, y por ende no puedes mapearlos a menos que la interfaz Web permitiese modificar los puertos de escucha del Servidor Web/SSH/otros. Dado que el Router usa el puerto 80 para sí mismo, cualquier tráfico dirigido hacia el puerto 80 del Router este lo toma como tráfico propio (tráfico entrante, cadena INPUT en iptables y esas cosas), y por ende lo pasa por las reglas del Firewall de tráfico de entrada, y lo deniega porque el origen no está dentro de los rangos IPs permitidos.
Si pudieses eliminar dicha regla, que en la mayoría de los equipos de Movistar se puede quitar, no solucionarías nada, al contrario, sería contraproducente, porque ahora podría acceder a la interfaz de gestión del Router cualquiera, sin importar que el origen provenga de los servidores de gestión de Movistar.
De echo el log te lo está diciendo bien claro:
N=ppp0 OUT= MAC= src=217.17.240.228 DST=192.168.1.1
Origen -> 217.17.240.228
Destino -> 192.168.1.1
El destino es el Router, no un equipo de la red local, tráfico de entrada, no reenviado (FORWARD en iptables, aplicado cuando hay un cambio de red, por ejemplo una redirección de puertos a un equipo de la red local)
Como ves, es bastante sencillo de entender. Y el por qué de actuar de este modo, aunque no tengo ni idea las políticas internas y decisiones de Movistar, doy por sentado que son por cuestiones de seguridad básicas y de gestión. Movistar requiere, y es lógico, tener acceso a sus equipos, lo cual lo hace entre otras cosas por su interfaz Web. Que podría tener apartados concretos para permitir levantar los servicios en otros puertos, o deshabilitar directamente la gestión remota? Sí, y de echo algunos Router que tienen lo permiten, pero en cualquier caso son funcionalidades que no requiere el 95% de los usuarios, al contrario, a efectos generales serían problemas de seguridad para ellos.
Así que si no estás conforme con estas políticas o como Movistar preconfigura sus equipos, siempre puedes usar tu propio Router, cosa por cierto que me asombra, que un usuario experto que requiere hacer uso de servicios poco habituales y que potencialmente pueden poner en riesgo la seguridad de su red, prefiera fiarse de la seguridad y la poca versatilidad de los Router del ISP. Pero oye, quien soy yo para opinar en ello o decirle a nadie lo que debe o no hacer.
Saludos.
Si que existe un CSF interno, independiente del que ya quité en el panel de administrador. Y si, el equipo que da servicio al exterior está bien protegido con su propio Firewall.
Te adjunto log del router que demuestra lo que digo:
RemoteManagement: Action=DROP Unsecured Client Access Deny IN=ppp0 OUT= MAC= src=217.17.240.228 DST=192.168.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=45558 PROTO=TCP SPT=59463 DPT=80 WINDOW=33831 RES=0x00 SYN URGP=0
No intentes dejarme como mentiroso, que soy experto en Linux y en Redes.
Buenas Chemita2307
Los Router de Movistar suelen tener el puerto 80 para uso propio, para la propia interfaz Web del Router. La regla del Firewall que existe, no tiene absolutamente nada que ver con la redirección de puertos, esas reglas es para el tráfico entrante, y aunque el nombre lleve a confusión el tráfico entrante no es el que va dirigido a tu red local, sino al Router. Dicho de otro modo la regla en el Firewall que suele tener Movistar relativa al puerto 80/443/22 es para restringir el acceso al propio Router, que por defecto y por seguridad tan solo tiene acceso los equipos de gestión de Movistar, eso es lo que pone la regla del Firewall.
Si lo que quieres es exponer un dispositivo propio al exterior al puerto 80, es una muy muy mala idea, puesto que dicho equipo sería atacado constantemente desde Internet. A menos que tengas conocimientos avanzados y dispositivos seguros, nadie debería jamás de exponer un puerto conocido hacia el exterior.
Si lo que quieres es poder acceder a tu propio Router desde el exterior, también es muy mala idea, porque será el Router quien esté expuesto hacia afuera, no te quiero decir los problemas de seguridad que ello entraña.
Lo que se suele hacer por seguridad es exponer un puerto externo cualesquiera, alto, por ejemplo el 20000 hacia el 80 de un equipo interno. Aun cuando el Router te permitiese cambiar el puerto de gestión y pudieses mapear el puerto 80, el consejo sería igualmente el mismo.
Esto en particular no se hace por capar, sino por seguridad. Son Router domésticos, donde el usuario suele tener conocimientos limitados. Aquellos que realmente saben lo que hacen y requieren de prestaciones avanzadas, por lo general prefiere usar su propio Router, el cual configura como estime, no un Router residencial "sencillo" de un ISP.
