3Com 812 ayuda con los filtros
-
Hola, tengo un 3com 812 y me gustaria currarme unos buenos filtros con el cli…
Tengo el manual del router y lo explica muy por encima...:mad:
Sabéis de alguna web o guía donde te enseñe como hacer correctamente estos filtros???
Mi intención es dejar abiertos únicamente los puertos más esenciales pero cerrando el resto.
Necesito Ayuda :rolleyes:
-
Bueno, si quieres cerrar puertos supongo q lo tendras en monopuesto no? si no quieres hartarte de hacer filtros lo mas sencillo seria ponerlo en multipuesto y ir abriendo puertos segun necesites, e ir creando filtros para los que necesites tener protegidos. Con la utilidad de configuracion web del 3com es bastante facil configurar los filtros
-
Si, de momento lo tengo en monopuesto, pero viendo el coñazo que es poner los filtros por el cli, lo pondré en multipuesto y ya iré cerrando los puertos más famosillos como 21,23 etc…
Gracias Nittaku!
-
Esto como norma general….en un firewall bien diseñado la ultima regla es la que cierra todo el trafico....por lo tanto tienes que saber de antemano lo que quieres que pase para añadir las correspondiente reglas que lo permitan y la ultima sera la que denegara el resto de conexiones...muy importante cortar todo trafico icmp esa deberia ser la primera regla
-
Ah se me olvidaba…..mira en estos enlaces....aqui vienen los puertos que usan algunos programas
http://www.adsl4ever.com/docs/puertos.htm
y aqui todos los puertos, te recomiendo que lo imprimas…es la biblia de los puertos
-
La famosa lista ya me la sé de carrerilla
Si mi intencion es tener Server Web, Dns i mail, decidme si creéis q son correctos los filtros q tenía pensados (són de Entrada a Router input):
#filter
IP:
1 REJECT protocol = ICMP;
2 ACCEPT tcp-dst-port = 25;
3 ACCEPT udp-dst-port = 25;
4 ACCEPT tcp-dst-port = 53;
5 ACCEPT udp-dst-port = 53;
6 ACCEPT tcp-dst-port = 80;
7 ACCEPT udp-dst-port = 80;
8 ACCEPT tcp-dst-port = 110;
9 ACCEPT udp-dst-port = 110;
999 DENY;me hace falta abrir los UDP para el 80 y el 53 para servir sin problemas?
utilizando éste filtro podría navegar (partiendo que cuando se navega se usan los puertos del 1100 al 1400)?GRACIAS!
:rolleyes:
-
En principio si que son correctos pero no te haria falta abrir el udp
con respecto a la navegacion….tampoco tendras problemas puesto que es una conexion saliente y esos filtros son entrantes -
Espero no molestar, tengo una duda relacionada con el tema que hablais. Tengo ese router en multipuesto y el problema que tengo es que es imposible la comunicación de voz via messenger. He abierto los puertos que toca y nada, no sé que hago mal pero antes de pasarme a monopuesto os lo quería comentar.
Gracias
-
jejeje…..buena pregunta jmas a la que yo no tengo solucion...ni tampoco el resto de españa...estoy en el mismo caso que tu...hay 2 opcciones o monopuesto o sin telefonia ip...es problema es debido a que el mess envia la ip privada al pc al que quieres iniciar la conversacion de voz en el caso de llamadas salientes para las llamadas entrantes teoricamente se podria siempre y cuando se tenga mapeados a tu maquina como default wkst todos los puertos...eso no lo he probado...desisti hace mucho
-
Hola de nuevo. Sigo con las dudas con los filtrillos, estoy de acuerdo en que abriendo únicamente los TCP para el 53, 80 y 110 puede funcionar bien.
Pero en referencia a los puertos para navegar, no acabo de ver que sean salientes… Al navegar yo me conecto remotamente a un server web en el puerto 80 y de alguna manera los datos llegan a mi maquina por los puertos 1100 a 1400 (mas o menos) pero aún dudo si estos puertos son entrantes o salientes...
Ayudaaa!
-
Los puertos de salida de tu maquina a un servidor son transparente para ti, de hecho se asignan dinamicamente a no ser que el programa en cuestion fuerze a usar un puerto en concreto como por ejemplo un juego y los filtros que tienes que poner son puertos entrantes….
De tu lan a inet son salientes y de inet a tu lan son entrantes...No te conviene poner filtos en la parte saliente a no ser que quieras perder funcionalidades por que como he dicho se asigna dinamicamente y no tiene por que ser el mismo...p.e. tienes una sesion abierta por el 1134 contra el 80 del host y otra sesion abierta por el 5600 contra 25 del host y otra por 40006 contra el 113 del host...en resumen estas viendo una web, enviando un correo y bajandotelo y puede que la siguiente vez no sean los mismos puertos, por eso no se deben tocar los salientes...y de los entrantes deberias abrir SOLO los servidores que tengas montados si tienes un web pues eso el 80 si tienes un correo el 25 y el 113 si tienes un servidor de ut el 7778 y 27900 por ejemplo y el resto de conexiones capadas xD
-
Gracias una vez mas por tu extensa y aclarecedora explicación darkside
Ahora será qüestión de probar todos los cambios q he ido haciendo de los filtros con otra connexion a inet.
En referencia a los filtros entrantes pocas dudas me qudan, aunque yo toda la vida pensaba que el https era el 8080 y no el 443…
Para los salientes alguno que otro meteré para evitar messenger kazaa's, edonkeys y demas programitas que no interesa que la gente use en horas de trabajo y tal...
Gracias una vez más!
-
El 8080 se suele usar como puerto de comunicacion del proxy cuando tienes del iis colgada una web, aunque es configurable durante y despues de la instalacion del proxy, para los clientes del proxy…si...es el 8080 pero en realidad el ssl es el 443...veo que tambien eres administrador de red
que no te den la lata los usuarios mas de lo necesario que luego se acostumbran jejeje -
Me habeis planteado una duda sobre algo que tenia por perdido, yo tengo una adsl contratada con arrakis y me tienen vetado el poder instalar un sevidor de ftp, mi ip es dinamica y los perros me dicen que no me dan la fija si no pago mas, tengo acceso al router que es un 812 de 3com pero no vale con anular los filtros, me da siempre mensaje desde fuera de "inacesible direccion", probe el soft de ip .com ese que tetestea constantemente la ip y modifica o redireciona a la que es y tampoco , deben tener un firewall que limita el acceso desde fuera o que leche habran echo, puede haber una solucion? solo me interesa poder instalar un servidor de ftp para mis amiguetes y claro seria estupendo alojar mi web en mi servidor
-
Mirate esta web http://rosh.adslnet.ws/modules.php?op=modload&name=FAQ&file=index&myfaq=yes&id_cat=8&categories=3COM+OfficeConnect+812 aqui tienes como configurar el 810 desde 0….antes de nada tienes que saber todos los datos de arrakis y poner que usas rfc1483 sobre dhcp, ¡¡¡advertir que como todo tiene su riesgo!!! pero asi te quitarias todos los filtros que hubiera...una vez reconfigurado solo quedaria hacer napt a tu equipo por el puerto que definas como ftp (normalmente es el 21 pero se puede configurar para que fuera por otro puerto, cosa que te recomiendo que hagas) y ya estaria. Lo de ip.com no funciona por el tema anterior, por que el router como no esta haciendo napt no sabe a que equipo enviarlo, no por que tenga arrakis un firewall
Si hay alguna duda mas hasta el lunes no voy a poder postear pero seguire la rama...creo que con la pagina que he puesto no deberia de haber ningun problema
