Buenas,
no hace mucho que tengo ADSL con este router, y mi configuración inicial de telefonica ha evolucionado de forma sustancial, gracias a este foro ;) He decidido poner todos los cambios realizados para que le sirva a otra gente, ya que creo que es importante.
Partimos del router en multipuesto y un solo pc, con ip fija. Los cambios realizados son:
1 - Cambiar el password del router.
telnet ip_router
password: 1234
menú 23 - system password
2 - Activar el acceso del router por web desde el pc local e impedir el acceso desde el exterior tanto de telnet, ftp y web (los 3 del router, no servicios nuestros), para mayor seguridad.
telnet ip_router
menú 24 - system maintenance
menú 11 - Remote management
secured client ip= ip_local (en los 3)
server access= LAN Only (en los 3)
Ahora se puede acceder a los menus del router por http://ip_router , pero continuo desde la ventana DOS con telnet.
3 - Abrir puertos. Disponemos de 7 puertos para hacerles NAT, lo cual en mi caso me va justisimo. Tengo 2 para emule (4662 y 4672 - utilizado para cambiar fuentes con otros usuarios el 4672), 2 puertos para FTP (21 y 20 - utilizado para transmisión de ficheros el 20), 1 por web (80) y 2 para el PcAnywhere (5631 y 5632).
telnet ip_router
menú 15 - SUA server setup
Default - 0.0.0.0
4662 - ip_local
4672 - ip_local
...
4 - Desactivar filtros para hacer funcionar el ftp y web, y también para aumentar la seguridad.
telnet ip_router
menú 21 - Filter set configuration
12 (WebSet)
1 -> en Active -> No (puerto 21 - ftp)
3 -> en Active -> No (puerto 80 - web)
otra vez en menú 21 - Filter set configuration
1 (filtro)
1-> en Active -> No (este daba privilegios de todo a direcciones ip del rango de gestión de Telefonica)
5 - Desactivar el acceso desde el exterior de SNMP, por seguridad.
telnet ip_router
menú 22 - SNMP configuration
Get community= nombre inventado diferente de public y private
Set community= nombre inventado diferente de public y private
Trusted host= ip_local
Trap:
community= nombre inventado diferente de public y private
destination= ip_local
Bueno, estos son todos los cambios que he aprendido por aquí, espero que le sirva a gente que esten todos recopilados en un post. Si se os ocurren algunos otros para mejor la seguridad del router o si he cometido errores seria de agradecer comentarios al respecto. Gracias. :cool:
Todos los cambios son correctos, y creo que no sobran ni faltan. Sólo una puntualización. Ya que sólo tenemos 7 traducciones disponibles en el SUA (a parte de la default), debemos ahorrarnos las más posibles. En este sentido, y no me preguntes por qué, no es necesaria la traducción del puerto 20 de ftp... Yo pensaba que efectivamente no sería necesaria siempre que las conexiones al servidor fueran en modo pasivo, pero haciendo pruebas el otro día me di cuenta de qué no: tanto en modo pasivo como activo, solamente hace falta redirigir el puerto 21... :? Haz la prueba y me cuentas.
Es cierto lo que dice pequeworld, ademas de esto otro que te digo yo.
ahorrate el 20 en NAT o SUA como dicen los descerebrados estos de zyxel, porque con el 21 te vale para dar servicio de ftp. Yo lo hago asi.
Respecto de los filtros vuelve a poner el del 21 y el 80 porque, haciendo NAT de esos dos puertos ya los estas abriendo para esa ip privada como si no existieran esos filtros, asi que te va a dar igual.
@arker, eso que dices no es cierto. Estaríamos buenos si aplicando un NAT te saltarás los filtros. En todo caso te saltarías un filtro cuya IP destino sea la pública, pero los filtros estándar que trae en el set 12 el Zyxel matan el tráfico al puerto 21 a cualquier IP. Eso sí, hay que tener en cuenta a la hora de programar filtros que primero se realiza el NAT/SUA, y después se filtra.
Por si se trataba de algún bug extraño, he hecho la prueba y efectivamente, un filtro correctamente configurado no permite le paso de paquetes al puerto 21, por mucho que lo tengas redirigido en el SUA.
yo tenia la configuracion como sale en el post, a escepcion del paso 2, en secure ip client tenia puesto 0.0.0.0 y lan only, en los tres. al cambiarlo por la ip local, perdi el acceso a router tanto por telnet , hyperterminal y web. Tuve que resetear el router, lo digo por lo siguiente, la red la tengo configurada por servidor dhcp, esopuede haber influido en la perdida del router? Si no es asi por que no me ha funcionado?
Un saludo
wenas,
respecto a los puertos ftp, pues es verdad, solo hace falta el 21, el 20 no. Necesitaba otro puerto para el Shareaza y el ftp funciona perfectamente.
es muy posible que pequeworld, que sabe mucho de esto, tenga razon respecto a los filtros y NAT, pero entonces yo me hago una pregunta:
Si lo que dice es cierto porque ocurre que, con NAT del 21 a ip-local y un ftpServer activo como servicio, sin quitar el filtro en el router, hacemos dos pruebas:
- primera. entramos en una pagina de esas que hacen escaneo de puertos y , claro, lo que sospechabamos, el 21 esta abierto de par en par y accesible pues tenemos un servicio activo.
- segunda. como seguimos creyendo que pequeworld puede seguir teniendo razon, llamamos a un colega, le damos una cuenta ftp y le pedimos que entre. Nos saca una peli a 120kb por segundo.
Conclusión: con las pruebas realizadas mas lo que dicen todos los manuales que hemos leido, parece que hacer NAT de un puerto , abre este. Aun asi , sigo teniendo dudas razonables, pero me pregunto como habrir los "filtros" por ejemplo para los puertos del emule, pues parece que los filtros se hacen para rangos de puertos o para puertos en concreto, y esto no pone las cosas faciles para colegas que no sean profesionales de esto.
una rectificacion publica en favor de pequeworld.
He estado leyendo el manual oficial y efectivamente tiene razon. Los filtros actuan "siempre", lo que pasa es que cuando son paquetes entrantes el filtro actua despues de NAT y como ve que es un paquete que pide un puerto mapeado, lo deja pasar, cosa que ocurre al reves con paquetes salientes. de esta manera, pequeworld tiene razon en lo que dice , aunque sea cierto lo que yo digo, que es que el efecto de NAT es que deja el puerto abierto, pues el filtro, aunque esta ahí, va ha dejar pasar todo.
saludos y a dios lo que es de dios y a peque lo que es de peque.
De todas formas, sigo teniendo mis dudas sobre lo que dices:
[quote]Los filtros actuan "siempre", lo que pasa es que cuando son paquetes entrantes el filtro actua despues de NAT y como ve que es un paquete que pide un puerto mapeado, lo deja pasar, cosa que ocurre al reves con paquetes salientes[/quote]Yo tengo una cosa muy clara: los filtros actuan, haya NAT o no haya NAT delante o detrás. Los filtros ni siquiera saben si ese puerto está mapeado o no, simplemente hacen su trabajo. ¿Cuál es el truco entonces? El truco es la manera en que escribas el filtro. Hay que tener en cuenta que el NAT "transforma" las cabeceras de IP, de manera que modifica la IP destino. Si tu filtro tiene una IP destino concreta y no sabes cuando está actuando el NAT, es posible que creas que tienes un filtro correctamente configurado y realmente no lo está, por lo que deja pasar los paquetes. Ese efecto puede hacerte pensar que el NAT se está saltando los filtros, cuando no es así... Tenemos que tener claro que:
llega paquete al interfaz publico WAN --> Se aplica el NAT (SUA) --> Se aplican los filtros
Si metemos un filtro de entrada en nuestra WAN (Interfaz ADSL) por ejemplo:
desde internet, puerto origen el que sea hasta la IP pública de tu ADSL, puerto 21, filtra el paquete.
Pues lo estamos haciendo incorrectamente, porque en el momento en que se aplican los filtros, el paquete tiene como IP destino la IP privada definida en el NAT/SUA, nunca la pública. Lo más sencillo? Pues así:
desde internet, puerto origen el que sea hasta cualquier IP, puerto 21, filtra el paquete.
Si tenemos claro esto, no hay problema. Otra cosa es donde y como apliques los filtros. La mayoría de nosotros lo que queremos es filtrar paquetes de Internet hacia nuestra red. Esto se puede hacer aplicándolos de entrada en la WAN o de salida en la LAN. Para que el esquema que he pintado tenga sentido, se deben aplicar en la WAN, y de entrada, que es como vienen configurados por defecto en el Zyxel, y personalmente creo que es la mejor forma de hacerlo.
No sé si me explico demasiado bien... :P
Yo creo que una norma sencilla de cara a filtrar paquetes entrantes es no meter ninguna IP como destino, solo el puerto (a no ser que te interese por algo concreto). De esta forma no tienes que estar pensando cuando actua el SUA y como es el paquete cuando se filtra.
he hecho todo esto que dice,pero al intentar entrar por web me pide usuario y contraseña,le meto la contraseña que cambie por 1234 y no me deja entrar,¿puede ser por el usuario?¿que seria ahora lo de usuario?gracias
La verdad esto del router es una mierda, a mi me iba mejor con el modem de cable...
Bueno a lo que iba no se por que no hay manera de configurar esto para que me vaya el jodio FTPserver.
Yo al principio de coger el router, con mi ignorancia borre el filtro Web_set viendo que estaba machacando el puerto 21 que era el que a mi me interesaba. Cosa que me dejó sin internet, desactivando el resto de los filtros, volví a tener conexión. En realidad este filtro no tengo ni idea para que carajo estaba alli. En el SUA he configurado el puerto 21 para mi ip_local pero esto sigue sin funcionar. Haber si alguien me puede decir que es lo que puedo hacer para hechar a andar el jodio FTP_server :casstet:
Pues mira,,,,ya que dices que con el cable modem te iba mejor (perdonalos señor.....) , pues en tu caso igual deberías convertir tu bonito router en un cutreModem ,perdón quería decir modem.
Yo no lo haría, pero puedes hacerlo simplemente ejecutando de nuevo el configurador de telefónica que viene en el cd y poniendolo en "MonoPuesto". Asi lo conviertes en un modem con todo abierto y preparadito pa que te usen tu ftpServer pa liar alguna.
enga....suerte compañero. :D
como te lo da telefonica no puedes tenerlo ya k viene con un pass de serie pa todos los routers y acabaran por joderte el router alguien entrando , como minimo cambiar el password del router
metal347 escribió:3 - Abrir puertos. Disponemos de 7 puertos para hacerles NAT, lo cual en mi caso me va justisimo. Tengo 2 para emule (4662 y 4672 - utilizado para cambiar fuentes con otros usuarios el 4672), 2 puertos para FTP (21 y 20 - utilizado para transmisión de ficheros el 20), 1 por web (80) y 2 para el PcAnywhere (5631 y 5632). telnet ip_router menú 15 - SUA server setup Default - 0.0.0.0 4662 - ip_local 4672 - ip_local ...
Hola, para que sirve hacer esto. Yo lo tengo a cero en mi router (es decir no he tenido que abrir ninguno) y sin embargo puedo utilizar el eMule perfectamente.
Para que sirve todo esto. Según las pruebas que realicé tengo todos los puertos del router cerrados y sin embargo no necesité nunca abrir un puerto (o mapearlo) para utilizar cualquier aplicación - y he probado programas a punta pala- y nunca me impidió el paso actuando de cliente o servidor.
Todo eso esta muy bien, pero hay alguna forma de abrir un rango de puertos?
Si yo quisiera abrir mas de los 7 Puertos que vienen en la configuración, por ejemplo 10 ó 20 (TCP y UDP), existe alguna posibilidad de hacerlo, sin tener que usar el espacio "defalut" que los abriria todos?
Otra cuestión, en la direccion IP que te pide junto al puerto que quieres abrir, hay que poner la puerta de enlace, verdad? o por el contrario hay que poner la IP del Computer en cuestión?
Si no fuera posible, que router con el que pudiese hacerlo me recomendais, (que este bien de precio.)
Asias.
Hola amigos a que llaman ip_local, porque yo hice todo los procedimientos y desde mi explorardor no puedo entrar al modem. Es la ip del router, la ip de la placa de red donde se conecta el router, mi ip publica, la ip de la otra placa que va a la red estoy perdido. Saludos.
2 - Activar el acceso del router por web desde el pc local e impedir el acceso desde el exterior tanto de telnet, ftp y web (los 3 del router, no servicios nuestros), para mayor seguridad. telnet ip_router menú 24 - system maintenance menú 11 - Remote management secured client ip= ip_local (en los 3) server access= LAN Only (en los 3) Ahora se puede acceder a los menus del router por http://ip_router , pero continuo desde la ventana DOS con telnet
Hola amigos, les agradezco de antemano por sus respuestas...
Mis datos:
Tengo una conexion Adsl - Telefonica
Tengo un Ciber
Conectado a 20 Pcs con Windows Xp...
Probe con el Sp1 y con el Sp2 del Xp, pero igual..
Los margenes de ruido y atenuacion son buenos, por eso no creo que sea ese el problema.
Bueno, el asunto es el siguiente, tengo una conexion Adsl y telefonica me puso un Router Thompson 580, pero con ese router mucho se me iba la linea, inclusive con pocas maquinas encendidas, peor aun cuando instalaban el Ares o algun otro software para bajar videos..
El asunto es que tengo un Prestige 643 y lo puse en vez del thomson 580, lo configure y me va mejor, el problema surge cuando estan prendidas todas las Pcs, se me baja la linea, se pone lenta, pero aun cuando instalan el ares y otro programa como les mencione...
Cuando configure mi prestige observe que en el Thomson los valores Vci y Vpi tenian 2 valores cada uno 8/60 y 8/64, puse el primero en mi prestige (8/60), es necesario poner el otro valor?? donde lo coloco, lo adiciono en el menu 11.1, es decir en el 11.2 lo coloco el otro valor??
Mi prestige esta en multipuesto, tengo ip fija, activado el Dhcp, pq si lo desactivo no me entra el internet, elimine el filtro inicial (1) pero los otros filtros estan alli no los toque..
Si elimino todos los filtros me ira mejor??? Es bueno eliminarlos??
Que pasa si lo hago, me vere expuesto a ataques desde fuera????
Algo mas tengo que configurar???
Escuche hablar sobre limitar el ancho de banda a las Pcs a travez de QoS.
Cual creen q es la solucion a mi caso...
Otra cosa, un ciber q es de mi amigo funciona de maravilla y no se le corta la linea y eso que tiene contratado el mismo ancho de banda y tiene 25 Pcs conectadas... Quise ver la configuracion de su router, pero no se puede es imposible pq el tecnico de telefonica le puso una clave, y resetearlo no creo q sea lo mejor, pq puede sucederle lo mismo que ami...
