Off Line escribió “Para que nuestro web pueda ser visto desde fuera es preciso que el router 3Com 812 tenga permitido el acceso a nuestra red.
Telefónica por defecto instala un filtro que solo permite acceso desde fuera sin limitaciones a sus puestos de gestión e impide el acceso a los puertos 23 y 80 (telnet y web).
Sigue leyendo …
Por tanto, si no eliminamos este filtro, aunque configuremos el NAT para que los paquetes entrantes vayan a la máquina de nuestra red, funcionarán solamente los servicios que usen puertos distintos del 23 y del 80, como por ejemplo FTP (puerto 21, Napster, etc…)
Conocimientos previos necesarios para quitar el filtro:
- Esto no es para “novatos”. No se explica como hacer una sesión telnet (desde windows, linux o lo que sea…), ni transferencia de ficheros con tftp, etc…
- Como permitir el acceso al router y desproteger el usuario y la clave (ver permitir acceso)
- Uso del CLI (Interprete de lenguaje de comandos) del router
(ver uso de cli)
- Como configurar NAT para que los paquetes se dirijan al servidor web (poner como default workstation del NAT la máquina en la que está el servidor web y añadir el mapeo de ports correspondiente)
Procedimiento:
Una vez que entremos al CLI del router mediante telnet a la IP privada del router CLI, al teclear “list filters” nos saldrá algo así – si no hemos hecho “delete filter filtro” que nos dice la página de www.galeon.com- como:
Filter Name Status Protocols
filtro NORMAL IP
…. y podría haber otros nombres de filtro adicionales….
Para ver que hace ese filtro que viene instalado por defecto, teclear “show filter filtro”, mostrándose lo que ocurre en la interfaz a la que está aplicado el filtro (normalmente atm:1, o sea la conexión ADSLcon el proveedor (Telefónica)):
#filter
IP:
1 ACCEPT src-addr=193.152.37.192/28
2 REJECT tcp-dst-port=23
3 REJECT tcp-dst-port=80
Es decir, que NO se permite acceso a los puertos 80 y 23 desde ningún sitio y no hay ninguna restricción para una máquinas en la red 193.152.37.192/28(supongo que deben ser máquinas de gestión del servicio y por tanto a mi me gusta que puedan acceder a mi router para gestionar mejor el servicio). Además,
probablemente así no se “mosquee” el proveedor
Solo necesitamos crear un fichero con el nuevo filtro, ponerlo en el router,activarlo y ya está…pero el CLI no permite editar ficheros, así que tendremos que apañarnos “externamente” siguiendo los pasos siguientes:
1.- Con un editor de textos creamos un fichero con el contenido siguiente:
#filter
IP:
1 ACCEPT src-addr=193.152.37.192/28
2 ACCEPT tcp-dst-port=23
3 ACCEPT tcp-dst-port=80
Lo salvamos en local como por ej: “filtro1″. Este fichero lo deberemos descargar en el router.
2.- En el router permitimos que nuestro puesto pueda descargale ficheros con el comando CLI: “add TFTP client “la IP de la máquina en la que estamos trabajando”
3.- Desde la máquina que estamos trabajando hacemos un “put” del fichero anterior “filtro1″
4- Borramos el filtro antiguo “filtro” con “delete filter filtro”
5.- Le decimos al router que reconozca el nuevo filtro con “add filter filtro1″
6.- Comprobamos que el filtro nuevo existe en el router con “list filters”
Filter Name Status Protocols
filtro1 NORMAL IP
…. y podría haber otros nombres de filtro adicionales….
7.- Aplicamos el filtro “filtro1″ a la interfaz atm:1 y/o al remote site “internet” con las instrucciones “set interface atm:1 input-filter filtro1″ y “set vc internet input_filter filtro1″
8.- Activamos el filtro en la interfaz atm:1 con “set interface atm:1 filter_access ON”
Ya podemos probar el acceso desde el “exterior” a servicios telnet y web en nuestro PC.
Anónimo
muy bien pero porque no creas un filtro nuevo por navegador web. Es mucho más facíl ? Interesante saberlo como se lo puede hacer pero !!! Se te ha olvidado decir que el TFTP puede hacer daño al router si no usas las forma correcta de transferir archivos ( octet = modo bin y netascii = ficheros de texto ). Si tu por ejemplo quieres poner el fichero users del 3Com y no usas octet te lo cargas al menos la configuracion del router.
Anónimo
Me gustaria saber si ahora que tengo configurado mi NOKIA M1112 como Servidor WWW. EN QUE DIRECTORIO PUEDO PONER MIS PAGINAS PERSONALES PARA QUE SE VEAN EN INTERNET. HASTA AHORA USABA IIS, y las ponia en el Dir INETPUB/WWW
¿PERO AHORA?¿COMO…?
GARCIAS
Anónimo
Todo está explicado claramente, pero…eso de hacer un “put” no lo veo yo muy claro…Si puedes explicarlo mejor, te lo agradecería mucho.
Anónimo
Yo ahi, tambien me quede bloqueado.
Anónimo
Yo pienso que se ha complicado mucho un tema mucho mas simple: pq crear un nuevo filtro si quitando el de telefonica consigues exactamente el mismo resultado: se pueden conectar ips diferentes a la de telefonica y la ip de telefonica tambien. Asi que ningun proveedor se va a cabrear.
Anónimo
Igual que io.
Saludos
Anónimo
Para hacer el TFTP desde W2000 yo he utilizado el comando:
tftp -i 192.168.0.99 put d: empfiltro1
Mi problema ahora es que al acer el
add filter filtro1
me da el error
FM: In filter file filtro1, protocol IP, missing line terminator character
¿Alguien sabe qué puedo hacer?
Salu2
Anónimo
Al final lo he hecho como ha aconsejado alguien por ahí: con el configurador HTML.