Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión

 
Búsqueda Avanzada

15.707 Mensajes en 3.130 Temas- por 372 Usuarios - Último usuario: Javier Cruz
Mayo 23, 2012, 11:47:25
Foro de Hispabyte.netSeguridad y RedesRedes Informáticas (Moderador: actinio)Tema: Filtrado de tráfico avanzado
« anterior próximo »
Páginas: [1]   Ir Abajo
Imprimir
Autor Tema: Filtrado de tráfico avanzado  (Leído 869 veces)
0 Usuarios y 1 Visitante están viendo este tema.
ZaK
Experto
****
Mensajes: 357



Ver Perfil
« : Agosto 11, 2008, 01:16:07 »

Hola.


A ver si alguien puede ayudarme a resolver un problemilla que tengo... en el curro tengo filtrado el trafico al puerto 80, es decir, que solo puedo salir hacia direcciones en el puerto 80... pero quisiera poder conectar por ssh a mis maquinas en mi casa...

¿Cómo puedo filtrar con iptables o similar el tráfico entrante y clasificarlo y redireccionarlo? Es decir, saber si es ssh y redireccionarlo al puerto 22 o el que sea de la máquina que sea, http al 80 de otra máquia, etc.

Es decir, que el router redireccione todo el tráfico al puerto 80 entrante a una maquina (firewall) con linux (o lo que sea) y este sea capaz de redireccionar el tráfico según el tipo de este.

Alguna sugerencia?
En línea
ElTrapecista
Grupo_Moderadores
Experto
*
Mensajes: 409



Ver Perfil WWW
« Respuesta #1 : Agosto 12, 2008, 02:25:35 »
Si tienes un Router ADSL para conectarte a Internet lo mas facil es que hagas Port Mapping (abrir los puertos) y redirecciones el WAN 80 del router al LAN 22 del Ordenador.

Un saludo,
En línea
Me interesa la vibraci
ZaK
Experto
****
Mensajes: 357



Ver Perfil
« Respuesta #2 : Agosto 12, 2008, 02:29:12 »
Ese no es el problema ;-) el problema es que quiero poder filtrar sin puertos, es decir, por tráfico. Que de igual que le llegue trafico http.. ftp.. ssh.. que el filtrado sea por tipo, no por puerto. Es decir, que reconozca el tipo de tráfico y redireccione a una u otra máquina.

Que el entrante sea el 80 pero que el destino sean varios. Es solo para poder acceder desde el curro a las maquinas de mi casa (son varias VM). Si hago port mapping me cargo el servidor web que tengo montado xD
En línea
ElTrapecista
Grupo_Moderadores
Experto
*
Mensajes: 409



Ver Perfil WWW
« Respuesta #3 : Agosto 12, 2008, 04:29:45 »
No creo que se pueda hacer exactamente lo que pides.

¿Estas seguro que solo puedes acceder al puerto 80?
En línea
Me interesa la vibraci
ZaK
Experto
****
Mensajes: 357



Ver Perfil
« Respuesta #4 : Agosto 12, 2008, 08:10:31 »
Si, el puerto esta filtrado xD puedo hacer telnet solo al puerto 80 para que te hagas una idea. Así que supongo que lo que mira es el puerto de destino, no el tipo de tráfico.

De hecho soy uno de los sys admins de esa empresa... pero al ser multinacional los routers/firewalls estan configurados de fabrica y no tenemos passwords... ya sabes.

La idea es llegar a filtrar a nivel de capa de aplicacion (ssh, http, ftp...) no a nivel de capa de transporte (tcp,udp...)

El problema que veo es como poder filtrar a nivel de aplicacion... a ver si encuentro algo.
« Última modificación: Agosto 12, 2008, 08:40:51 por ZaK » En línea
ZaK
Experto
****
Mensajes: 357



Ver Perfil
« Respuesta #5 : Agosto 12, 2008, 09:13:02 »
Leyendo un poco sobre un filtro a nivel de capa de aplicación, para tráfico entrante hay un problema, y es que se necesitan unos 3 paquetes para poder analizar el contenido... problema? en tcp 3 paquetes es demasiado para poder enrutar el tráfico... en udp mediante buffers no habria problema... asi que invento al carajo...

Otra opción es un "webproxy de servicios", es decir, una interface web que dispusiese de cliente ssh.. ftp, etc.. y tu via web conectado al puerto 80 usases esos servicios... conoceis algun software del estilo??
En línea
ZaK
Experto
****
Mensajes: 357



Ver Perfil
« Respuesta #6 : Agosto 18, 2008, 12:26:46 »
Hola.


Me acabo de dar cuenta que podría (todavía tengo que probarlo) que podría filtrar de una forma más cómoda y sencilla...

/sbin/iptables -t nat -A PREROUTING -i eth0 -p TCP -d ssh.domain.net -j DNAT --to 192.168.1.10:22

/sbin/iptables -t nat -A PREROUTING -i eth0 -p TCP -d domain.net -j DNAT --to 192.168.1.11:80

Algo así, es decir, filtrar por dominio. Si va hacia el dominio ssh.domain.net pues a un ordenador, si va hacia otros dominios pues a otro.

Esto tengo que probarlo que ahora estoy en el curro xD
En línea
Páginas: [1]   Ir Arriba
Imprimir
Foro de Hispabyte.netSeguridad y RedesRedes Informáticas (Moderador: actinio)Tema: Filtrado de tráfico avanzado « anterior próximo »
Ir a:  


Tema diseñado por RJ-45 para Hispabyte.net basado en el
theme famouspadexx v.09 designed by Formado Comprido
Downloable here. My present to padexx.de