Autor Tema: Permitir DHCP-Renew a Internet ???  (Leído 449 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado peperfus

  • *****
  • Mensajes: 133
Permitir DHCP-Renew a Internet ???
« en: 04-04-2019, 13:14 (Jueves) »
Hola, estoy investigando un poco, intentando aprender sobre firewall.....

Y en Openwrt en la sección de firewalll, me encuentro con esta regla, que me deja un poco a cuadros:

Código: [Seleccionar]
Name: Allow DHCP-Renew
IPv4-udp
From any host in wan
To any router IP at port 68 on this device

Según entiendo, esta regla es para permitir (allow) la renovación (renew) de DHCP a cualquier host de wan  ???
No lo entiendo porque se supone que no servimos DHCP a wan (wan es donde suele estar Internet)...

¿Alguien puede explicarlo o arrojar un poco de luz?
Gracias.



Conectado Tki2000

  • Moderador
  • *
  • Mensajes: 1933
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #1 en: 04-04-2019, 16:31 (Jueves) »
Supongo que puede servir para darle ip a un módem que se conecte a internet. No es lo más normal, pero ahí está.
La wan de un router no tiene que estar conectada directamente a internet. Se pueden encadenar varios routers uno detrás de otro y con diferentes filtros cada uno.
« Última modificación: 04-04-2019, 16:34 (Jueves) por Tki2000 »
No habrás entendido algo, hasta que seas capaz de explicárselo a tu abuela...
Hacemos pantallas con píxeles casi invisibles, para luego ampliar la letra porque no la vemos... Bonita paradoja...
Creamos analfabetos tecnológicos con una velocidad pasmosa. Todo el mundo "maneja" tecnología, casi nadie sabe lo que tiene entre las manos, pero todo el mundo opina.
El analfabetismo, antes, pasaba desapercibido. Ahora, se transmite por Internet y las redes sociales.
Solo a un mandril epiléptico se le podría haber ocurrido diseñar la cinta de menú de M$.

Desconectado raphik

  • **
  • Mensajes: 49
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #2 en: 05-04-2019, 20:42 (Viernes) »
Sobre esto mismo se discutió a finales de 2017 en https://bugs.openwrt.org/index.php?do=details&task_id=1132&opened=908&status%5B0%5D=
Hubo quince intervenciones y en menos de ocho horas se cerró la discusión dejando las cosas como estaban. Supongo que consideraron que no era un problema importante para la seguridad. Tengo poca idea, o ninguna, sobre cortafuegos y lamento no poder aportar nada más. Agradezco que hayas abierto el tema.

He deshabilitado la regla y parece que todo sigue funcionando bien.

Saludos.
« Última modificación: 05-04-2019, 21:45 (Viernes) por raphik »

Desconectado eduperez

  • **
  • Mensajes: 30
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #3 en: 07-04-2019, 13:16 (Domingo) »
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Desconectado peperfus

  • *****
  • Mensajes: 133
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #4 en: 08-04-2019, 00:36 (Lunes) »
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

Sobre esto mismo se discutió a finales de 2017 en https://bugs.openwrt.org/index.php?do=details&task_id=1132&opened=908&status%5B0%5D=
Hubo quince intervenciones y en menos de ocho horas se cerró la discusión dejando las cosas como estaban. Supongo que consideraron que no era un problema importante para la seguridad. Tengo poca idea, o ninguna, sobre cortafuegos y lamento no poder aportar nada más. Agradezco que hayas abierto el tema.

He deshabilitado la regla y parece que todo sigue funcionando bien.

Saludos.

raphik, de nada. Yo me considero muy novato aún en la mayoría de los temas. Pero me gusta curiosear, experimentar, investigar, aprender.... y obviamente, eso acarrea dudas. Gracias a ti también por la información. Voy a borrar la regla porque particularmente no le veo ningún sentido (al menos en la configuración de mi red)

Actualmente estoy investigando (y aprendiendo) un poco sobre firewall. Quiero hacer un mini howto con lo que estoy aprendiendo, para que sirva como referencia para configurar el firewall.

No viene muy al cuento, pero dejo caer esto por aquí también, a modo de curiosidad que acabo de aprender justo ahora:
Diferencia entre NAT y MASQUERADING
(lo documentaré próximamente)

Quiero recordar y sobre todo recomendar para hacer pruebas para investigar y experimentar, sin arriesgar la configuración real, utilizar máquinas virtuales: con virtualbox, openwrt x86 (con 2 interfaces virutales (wan y lan)) y cualquier SO como cliente. De esto también me gustaría hacer un howto, porque creo que enormemente beneficioso para todos, sobre todo para los aprendices (e incluso para los más experimentados, nunca viene mal probar una config en virtual para asegurarse de que va bien antes que colocarla en un entorno real)
« Última modificación: 08-04-2019, 00:45 (Lunes) por peperfus »

Desconectado eduperez

  • **
  • Mensajes: 30
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #5 en: 08-04-2019, 12:40 (Lunes) »
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

El origen de esa regla está en este ticket de OpenWrt: https://dev.archive.openwrt.org/ticket/4108

El problema es que el firewall debería dejar pasar todas respuestas del servidor de DHCP a las peticiones del cliente, cosa que sí hace correctamente durante la petición inicial, pero no cuando es una petición de renovación. No es que se dejen pasar unas y no otras, es que la regla sólo es necesaria para un tipo de respuestas.

El puerto que se abre es el 68, que es donde el cliente de DHCP espera las respuestas; el puerto donde el servidor recibe las peticiones es el 67.
« Última modificación: 08-04-2019, 12:42 (Lunes) por eduperez »

Desconectado peperfus

  • *****
  • Mensajes: 133
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #6 en: 08-04-2019, 14:23 (Lunes) »
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

El origen de esa regla está en este ticket de OpenWrt: https://dev.archive.openwrt.org/ticket/4108

El problema es que el firewall debería dejar pasar todas respuestas del servidor de DHCP a las peticiones del cliente, cosa que sí hace correctamente durante la petición inicial, pero no cuando es una petición de renovación. No es que se dejen pasar unas y no otras, es que la regla sólo es necesaria para un tipo de respuestas.

El puerto que se abre es el 68, que es donde el cliente de DHCP espera las respuestas; el puerto donde el servidor recibe las peticiones es el 67.

Ok, entendido. Gracias por la explicación. Qué raro que funcione para las nuevas peticiones pero necesite la regla específica para las renovaciones.