« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Permitir DHCP-Renew a Internet ???  (Leído 3401 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado peperfus

  • ******
  • Mensajes: 251
Permitir DHCP-Renew a Internet ???
« en: 04-04-2019, 13:14 (Jueves) »
Hola, estoy investigando un poco, intentando aprender sobre firewall.....

Y en Openwrt en la sección de firewalll, me encuentro con esta regla, que me deja un poco a cuadros:

Código: [Seleccionar]
Name: Allow DHCP-Renew
IPv4-udp
From any host in wan
To any router IP at port 68 on this device
Según entiendo, esta regla es para permitir (allow) la renovación (renew) de DHCP a cualquier host de wan  ???
No lo entiendo porque se supone que no servimos DHCP a wan (wan es donde suele estar Internet)...

¿Alguien puede explicarlo o arrojar un poco de luz?
Gracias.


En línea

Desconectado Tki2000

  • Moderador
  • *
  • Mensajes: 2244
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #1 en: 04-04-2019, 16:31 (Jueves) »
Supongo que puede servir para darle ip a un módem que se conecte a internet. No es lo más normal, pero ahí está.
La wan de un router no tiene que estar conectada directamente a internet. Se pueden encadenar varios routers uno detrás de otro y con diferentes filtros cada uno.
« Última modificación: 04-04-2019, 16:34 (Jueves) por Tki2000 »
En línea

Desconectado raphik

  • *****
  • Mensajes: 102
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #2 en: 05-04-2019, 20:42 (Viernes) »
Sobre esto mismo se discutió a finales de 2017 en https://bugs.openwrt.org/index.php?do=details&task_id=1132&opened=908&status%5B0%5D=
Hubo quince intervenciones y en menos de ocho horas se cerró la discusión dejando las cosas como estaban. Supongo que consideraron que no era un problema importante para la seguridad. Tengo poca idea, o ninguna, sobre cortafuegos y lamento no poder aportar nada más. Agradezco que hayas abierto el tema.

He deshabilitado la regla y parece que todo sigue funcionando bien.

Saludos.
« Última modificación: 05-04-2019, 21:45 (Viernes) por raphik »
En línea

Desconectado eduperez

  • **
  • Mensajes: 42
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #3 en: 07-04-2019, 13:16 (Domingo) »
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.
En línea

Desconectado peperfus

  • ******
  • Mensajes: 251
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #4 en: 08-04-2019, 00:36 (Lunes) »
Cita de: eduperez en 07-04-2019, 13:16 (Domingo)
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

Cita de: raphik en 05-04-2019, 20:42 (Viernes)
Sobre esto mismo se discutió a finales de 2017 en https://bugs.openwrt.org/index.php?do=details&task_id=1132&opened=908&status%5B0%5D=
Hubo quince intervenciones y en menos de ocho horas se cerró la discusión dejando las cosas como estaban. Supongo que consideraron que no era un problema importante para la seguridad. Tengo poca idea, o ninguna, sobre cortafuegos y lamento no poder aportar nada más. Agradezco que hayas abierto el tema.

He deshabilitado la regla y parece que todo sigue funcionando bien.

Saludos.

raphik, de nada. Yo me considero muy novato aún en la mayoría de los temas. Pero me gusta curiosear, experimentar, investigar, aprender.... y obviamente, eso acarrea dudas. Gracias a ti también por la información. Voy a borrar la regla porque particularmente no le veo ningún sentido (al menos en la configuración de mi red)

Actualmente estoy investigando (y aprendiendo) un poco sobre firewall. Quiero hacer un mini howto con lo que estoy aprendiendo, para que sirva como referencia para configurar el firewall.

No viene muy al cuento, pero dejo caer esto por aquí también, a modo de curiosidad que acabo de aprender justo ahora:
Diferencia entre NAT y MASQUERADING
(lo documentaré próximamente)

Quiero recordar y sobre todo recomendar para hacer pruebas para investigar y experimentar, sin arriesgar la configuración real, utilizar máquinas virtuales: con virtualbox, openwrt x86 (con 2 interfaces virutales (wan y lan)) y cualquier SO como cliente. De esto también me gustaría hacer un howto, porque creo que enormemente beneficioso para todos, sobre todo para los aprendices (e incluso para los más experimentados, nunca viene mal probar una config en virtual para asegurarse de que va bien antes que colocarla en un entorno real)
« Última modificación: 08-04-2019, 00:45 (Lunes) por peperfus »
En línea

Desconectado eduperez

  • **
  • Mensajes: 42
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #5 en: 08-04-2019, 12:40 (Lunes) »
Cita de: peperfus en 08-04-2019, 00:36 (Lunes)
Cita de: eduperez en 07-04-2019, 13:16 (Domingo)
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

El origen de esa regla está en este ticket de OpenWrt: https://dev.archive.openwrt.org/ticket/4108

El problema es que el firewall debería dejar pasar todas respuestas del servidor de DHCP a las peticiones del cliente, cosa que sí hace correctamente durante la petición inicial, pero no cuando es una petición de renovación. No es que se dejen pasar unas y no otras, es que la regla sólo es necesaria para un tipo de respuestas.

El puerto que se abre es el 68, que es donde el cliente de DHCP espera las respuestas; el puerto donde el servidor recibe las peticiones es el 67.
« Última modificación: 08-04-2019, 12:42 (Lunes) por eduperez »
En línea

Desconectado peperfus

  • ******
  • Mensajes: 251
Re:Permitir DHCP-Renew a Internet ???
« Respuesta #6 en: 08-04-2019, 14:23 (Lunes) »
Cita de: eduperez en 08-04-2019, 12:40 (Lunes)
Cita de: peperfus en 08-04-2019, 00:36 (Lunes)
Cita de: eduperez en 07-04-2019, 13:16 (Domingo)
Esa regla sirve para cuando el router adquiere una dirección IP en la interfaz WAN por DHCP, por ejemplo si está conectado a otro router o a un modem externo.

Eso no me cuadra. Que yo sepa, los puertos normalmente se abren al servidor, no al cliente. En este caso la regla da salida al servicio DHCP a la interfaz WAN (from WAN to .... this device)
De todas formas, también es raro que sólo esté la regla para renew, pero no haya una regla para la primera solicitud de IP  ???

El origen de esa regla está en este ticket de OpenWrt: https://dev.archive.openwrt.org/ticket/4108

El problema es que el firewall debería dejar pasar todas respuestas del servidor de DHCP a las peticiones del cliente, cosa que sí hace correctamente durante la petición inicial, pero no cuando es una petición de renovación. No es que se dejen pasar unas y no otras, es que la regla sólo es necesaria para un tipo de respuestas.

El puerto que se abre es el 68, que es donde el cliente de DHCP espera las respuestas; el puerto donde el servidor recibe las peticiones es el 67.

Ok, entendido. Gracias por la explicación. Qué raro que funcione para las nuevas peticiones pero necesite la regla específica para las renovaciones.
En línea


Páginas: [1]   Ir Arriba
« anterior próximo »
 

Si quieres tener la mejor experiencia posible de navegación y uso de la web activa y acepta nuestras políticas de privacidad y cookies. En caso contrario te recomendamos abandonar la web y buscar la información en otro sitio. Si quieres registrarte en el foro deberás aceptar las políticas de privacidad y las condiciones de uso. Learn more