Ubuntu 9.04, quejas de Firestarter incluso detrás del enrutador NAT

0

Estoy detrás de un enrutador. En la configuración del enrutador, bloqueé:

  • todos (entrantes y salientes) UDP
  • ICMP entrante

Las iptables locales son configuraciones con el asistente Firestarter:

  • bloquear todas las conexiones entrantes
  • permitir todas las conexiones salientes
  • filtrar ICMP excepto ping
  • bloquear la transmisión desde una red externa

Ahora, Firestarter todavía se queja de conexiones TCP e ICMP bloqueadas a mi IP interna (192.168.0. *), En diferentes puertos. No hay quejas UDP, pero solo porque el enrutador los bloquea a todos. Anteriormente, con UDP-s entrantes (pero no salientes) bloqueados, también recibía toneladas de conexiones UDP bloqueadas (especialmente con Skype lanzado).

No entiendo cómo es posible que Firestarter se queje de conexiones TCP bloqueadas. Tengo entendido que detrás del enrutador no se puede acceder desde el mundo exterior (debido a la traducción NAT), y el enrutador pasa solo aquellos paquetes entrantes que coinciden con los paquetes salientes. Ahora, iptables debería funcionar de la misma manera: debería aceptar paquetes de respuesta entrantes que coincidan con los anteriores. Entonces, si el paquete TCP logra llegar desde mi computadora al servidor externo, entonces la respuesta nunca debe bloquearse.

Además, no entiendo cómo los paquetes ICMP pueden atravesar el enrutador y bloquearse en mis iptables: todos deben estar bloqueados en el enrutador (tenga en cuenta, sin embargo, que todos los ICMP que llegan a mis iptables están en el puerto 80, tal vez esto es una pista)

¿Podría alguien señalarme en la dirección correcta sobre cómo solucionar esos problemas (si hay alguno, tal vez no estoy informado).

Tomasz Zieliński
fuente

Respuestas:

0

ICMP es necesario para que las operaciones IP adecuadas no los bloqueen, aunque puede bloquear las solicitudes de eco ICMP. No hay un puerto ICMP 80, pero es probable que reciba mensajes inalcanzables para varios sitios web en el puerto 80. Los mensajes ICMP no bloquearán sus iptables.

Debería tener ntp ejecutándose y eso requerirá que el puerto 123 esté abierto en UDP. El DNS en el puerto 53 también debe estar abierto en UDP y TCP.

Si está ejecutando Skype, debe permitir UDP y TCP salientes en los puertos efímeros (32768 a 61000) en Ubuntu, así como algunos otros. También deberá permitir la entrada de UPD y TCP en el puerto que usa Skype. Vea mi publicación en Firewalling Skype .

Debería esperar algo de tráfico en varios puertos de los hosts dentro de su firewall. También recibirá paquetes de Internet si se encuentra en la dirección IP designada como DMZ en su enrutador / firewall. El firewall del enrutador también debe reenviar paquetes en puertos relacionados para protocolos como FTP.

BillThor
fuente
Esto no responde a mi pregunta, pero gracias de todos modos. La mayor parte de lo que pregunto es cómo podría ser que Firestarter se queje de las conexiones que mi enrutador debería cortar.
Tomasz Zieliński
Si su dirección IP está asignada a la DMZ, es poco probable que el enrutador bloquee nada.
BillThor
Dependiendo del enrutador y su configuración, puede ver tráfico desde él. Si las direcciones de origen y destino son las mismas para los primeros tres octetos, entonces no provienen de Internet.
BillThor
DMZ está deshabilitado. ¿Entonces dices que el enrutador en sí puede causar algo de tráfico? ¿Hay alguna razón por la cual, por ejemplo, Skype hace que tales conexiones ocurran con mucha más frecuencia en comparación con cuando Skype está apagado?
Tomasz Zieliński
Varios servicios, como los recursos compartidos de Windows, los protocolos de enrutamiento y otros, utilizan transmisiones periódicas para anunciar su presencia y descubrir otras computadoras. Si alguno de estos se ejecuta en su enrutador, es probable que vea tráfico procedente del enrutador. Si usa DHCP, su computadora iniciará periódicamente un intercambio con el enrutador. Skype es muy detallado. Vea mi publicación en systemajik.com/blog/firewalling-google-chat-and-skype
BillThor