Firewall, imposible abrir puertos UDP

6 envíos / 0 nuevos
Último envío
#1 Lun, 27/01/2020 - 16:48
rsampayo
Imagen de rsampayo
Desconectado/a
se unió: 27/01/20

Firewall, imposible abrir puertos UDP

Estado: 
[ACTIVO]

Buenas tardes, 

Les queria hacer una consulta, capaz tienen experiencia en esto.

Tengo un cliente, donde tengo un firewall Debian (192.168.0.X/24), funcionando hace años pero empece a administrarlo hace poco yo.

En el cliente, pusieron una Central telefonica, y un Ruter Microtik, el cual no administro yo, si no una empresa tercerizada, en otra subred (192.168.1.X/24).

Me pidieron abrir los puertos 5070 (UDP) y 50080 (TCP) para la misma ip, 192.168.1.7 (la ip del microtik si no me equivoco).

El tema es que el puerto TCP, es decir, el 50080, si me aparece abierto (probando con nmap -p50080 ippublica) y el 5070, UDP, no.

Ya he probado de todo, hasta de usar un rango, en vez de una ip sola. Y por lo que pude notar, no se abren los puertos UDP, pero si los TCP.

Nota: el modem es Iplan, y esta en modo bridge.

Cualquier ayuda sera bienvenida.

Gracias.

Lun, 27/01/2020 - 16:58
rsampayo
Imagen de rsampayo
Desconectado/a
se unió: 27/01/20

Falto aclarar:

En el firewall ya agrege la ruta estatica a la red del microtik, la red 192.168.1.X/24

Desde el firewall, puedo ver la red y llego al ruter microtik. Y viceversa tambien.

El error solo es en los puertos UDP.

 

   
 

/etc/network/interfaces

# The primary network interface
auto eth0 eth1
iface eth0 inet static
#       address 190.210.X.X
        address 190.210.X.X
        netmask 255.255.255.0
        gateway 190.210.X.X
        dns-nameservers 8.8.8.8
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        post-up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.150
        pre-down route del -net 192.168.1.0. netmask 255.255.255.0 gw 192.168.0.150

 

 nota: 192.168.0.150 la ip del router microtik, dentro de la red 192.168.0.0/24.

 

l

Lun, 27/01/2020 - 18:17
caliban
Imagen de caliban
Conectado
moderador
se unió: 14/01/16

Probaste ?

nmap -sU -p <puerto>  <ip>

 

Mar, 28/01/2020 - 08:25
rsampayo
Imagen de rsampayo
Desconectado/a
se unió: 27/01/20

Si ya probé, aparece cerrado el puerto 5070 y 50080.

Actualmente, deje el 5070 pero TCP. Por eso, no se porque tengo problemas solo con UDP, cuando es la misma linea de comandos, excepto de poner tcp o udp.

 

Falto aclarar que hasta el viernes funcionaba correctamente. El viernes a la tarde se corto me dice la empresa tercerizada, y el viernes nadie toco ese firewall.

Mar, 28/01/2020 - 12:21
elpatosilva
Imagen de elpatosilva
Desconectado/a
moderador
se unió: 22/01/16

Los puertos UDP en general no se ven abiertos, al no existir una secuencia de inicialización en el protocolo si el proceso que está a la escucha no responde a un paquete que no considera valido nunca podrás saber si está abierto o no. En OpenVPN por ejemplo, la única forma de saber si el puerto está abierto es enviarle la secuencia de iniciación utilizando un certificado válido. El SIP de asterisk al menos no responde a escaneos UDP, creo que si lo hace si se intenta iniciar sesión SIP con un usuario inválido.

Por otro lado, si estas utilizando el modulo sip_conntrack tené en cuenta que el puerto por defecto de SIP es 5060, tendrias que inicializar el modulo indicandole que el puerto es diferente para que pueda hacer el seguimiento de las conexiones adecuadamente.

Saludos

 La democracia es el proceso que garantiza que no seamos gobernados mejor de lo que nos merecemos.

Mar, 28/01/2020 - 16:29
rsampayo
Imagen de rsampayo
Desconectado/a
se unió: 27/01/20

Muchas gracias, trate de buscar esa informacion y no encontre nada. Por lo que se, estaba viendolo de afuera el tema de los puertos, es decir por fuera de la central telefonica. Pero al ser el mismo comando en iptables, deberia estar abierto, tal cual esta el puerto TCP.