Iptables "extraño" en router Comtrend

Iniciado por Stash, 7 Agosto 2010, 12:12 PM

0 Miembros y 1 Visitante están viendo este tema.

Stash

Configurando mi router ADSL+ he encontrado algo inusual a lo que no le encuentro una explicación razonable.

El router es un Comtrend 5365

He reconfigurado el firewall integrado para aceptar y rechazar algunos puertos que necesito. He activado el syslog a un equipo remoto y aquí es donde ha saltado la "alarma".

Yo defino los puertos que quiero filtrar y me encuentro que me añade 2 filtros adicionales que no aparecen en la lista de filtrado de IP y que yo no he configurado nunca.

El Log del router cuando arranca da me muestra esto:

Aug  5 00:03:53  syslog: iptables -I INPUT 1 -j ACCEPT -i ppp_8_32_1 -p tcp --dport 30005
Aug  5 00:03:53  syslog: iptables -I FORWARD 1 -j ACCEPT -i ppp_8_32_1 -p tcp --dport 30005
Aug  5 00:03:54  syslog: iptables -I INPUT 1 -j ACCEPT -i ppp_8_32_1 -p udp -s 192.168.0.1/24 --dport 30006
Aug  5 00:03:54  syslog: iptables -I FORWARD 1 -j ACCEPT -i ppp_8_32_1 -p udp -s 192.168.0.1/24 --dport 30006
(...)


Básicamente está permitiendo (sin que yo lo haya definido así) que acepte conexiones desde internet y hacia internet por esos puertos. TCP 30005 en destino y UDP 30006 en mi red. Con independencia de lo que el usuario decida.


Me cuelo en el equipo y hago un sysinfo && sh para acceder a la consola del BusyBox, Un iptalbles me da esto:



> sysinfo && sh
Number of processes: 33
11:52am  up 2 days, 11:49,
load average: 1 min:0.00, 5 min:0.00, 15 min:0.00
             total         used         free       shared      buffers
 Mem:        13912        13340          572            0          840
Swap:            0            0            0
Total:        13912        13340          572


BusyBox v1.00 (2009.07.09-10:31+0000) Built-in shell (msh)
Enter 'help' for a list of built-in commands.

# iptables -L -v
Chain INPUT (policy ACCEPT 2415 packets, 333K bytes)
pkts bytes target     prot opt in     out     source               destination        
  0     0 ACCEPT     udp  --  ppp_8_32_1 any     192.168.0.0/24       anywhere            udp dpt:30006
   2    84 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:30005

   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpts:XXXXX:XXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXX
 341 18120 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
  30  1724 DROP       tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXX
   0     0 DROP       tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXX
   0     0 DROP       tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXX
   0     0 DROP       tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXXX
8168  650K ACCEPT     all  --  ppp_8_32_1 any     anywhere             anywhere            state RELATED,ESTABLISHED
 366 18492 LOG        tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
5395  413K DROP       all  --  ppp_8_32_1 any     anywhere             anywhere            

Chain FORWARD (policy ACCEPT 1503K packets, 194M bytes)
pkts bytes target     prot opt in     out     source               destination        
   0     0 DROP       all  --  br0    any     anywhere             224.0.1.24          
   0     0 DROP       all  --  br0    any     anywhere             239.255.255.254    
   0     0 DROP       all  --  br0    any     anywhere             239.255.255.250    
   0     0 ACCEPT     udp  --  ppp_8_32_1 any     192.168.0.0/24       anywhere            udp dpt:30006
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:30005

1951  265K ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:www
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpts:XXXXXX:XXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
   0     0 ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
3060  191K ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
 856  133K ACCEPT     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp dpt:XXXXXX
35573 2077K TCPMSS     tcp  --  any    ppp_8_32_1  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
35761 2052K TCPMSS     tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
1929K 1838M ACCEPT     all  --  ppp_8_32_1 any     anywhere             anywhere            state RELATED,ESTABLISHED
   6   304 LOG        tcp  --  ppp_8_32_1 any     anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
   6   304 DROP       all  --  ppp_8_32_1 any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 19770 packets, 1127K bytes)
pkts bytes target     prot opt in     out     source               destination        
#



(los puertos XXXXXX son los que yo he definido pero están ofuscados por seguridad).

La configuración del firewall que se configuran por el interfaz web es esta:


Incoming IP Filtering Setup

By default, all incoming IP traffic from the WAN is blocked when the firewall is enabled. However, some IP traffic can be ACCEPTED by setting up filters.

Choose Add or Remove to configure incoming IP filters.

Filter Name   VPI/VCI   Protocol   Allow/Deny   Source Address / Mask   Source Port   Dest. Address / Mask   Dest. Port   Remove
ServidorLinuxXXX   8/32   TCP   Allow               XXXX   
ServidorLinuxXXX   8/32   TCP   Allow               XXXX   
RHelpSrv   8/32   TCP   Allow               XXXX   
RHelpd2   8/32   TCP   Allow               XXXX   
RDesktopVar   8/32   TCP   Allow               XXXX:XXXX   
ServidorXXX   8/32   TCP   Allow               XXXX   





Un scan de puertos desde internet marca como abierto el 30005 (de ahí los dos paquetes del listado anterior)

La pregunta es:

¿Para que abre el router esos puertos sin "mi consentimiento"?
No hay forma, sin colarse al router, de eliminar esas dos lineas IPtables.

En la mayoría de los sitios, los puertos TCP/30005 y UDP 30006 están asociados a troyanos.

Es más, desde internet, con el navegador apuntas a http://[mi url o mi direccion ip]:30005 y te aparece un prompt de login (IgdAuthentication). Carga una página en blanco le pongas lo que le pongas (o eso, o no le vale el usuario/password del router).

Supongo que habrá una explicación razonable, pero no la encuentro y me resulta extraño. Es como si el firmware del router por defecto añadiese siempre esas dos líneas, con independencia de la decisión del usuario en cuanto a filtrado de paquetes.

Ah, el router es de Telefónica.


Stash

Es posible que sea algo relacionado con UPnP, aunque lo extraño es que lo tengo deshabilitado.

http://text.broadbandreports.com/forum/r19818219-UPnP

Silici0

Perdona pero no he tenido tiempo de leer todo el post, luego lo intento. Ese puerto es normal que este abirto en algunos routers. Por si te sirve de algo, normalmente, lo que no te deja configurar o modificar desde la interfaz web se puede modificar accediendo a la configuracion del router desde telnet.

Aqui tienes un ejemplo de manejo de iptables por telnet en un router que, curiosamente, tambien tiene abierto el 30005
http://webtomich.com.ar/?p=131
"Lo que posees acabará poseyéndote."
.
..:

jcrack


Hola stash   :D

No conozco mucho del tema pero hago un esfuerzo por ayudarte ,me demore en responder porque estaba revisando router adsl de telefonica pero de otra marca y encontre que todos tienen siempre abiertos los puertos :
80 , 23, 21 ,6565 ,6566
no parece ser nada extraño ,parece ser politica de la empresa tener abiertos puertos para comunicarse con su portal
al igual que tu ,este tema me interesa ojala responda algun experto en el tema para sacarnos la duda

a proposito ¡¡ si acaso tienes el OID de los comtrend por favor enviamelo ¡¡

gracias
   by-by

Stash

Cita de: Silici0 en  8 Agosto 2010, 22:02 PM
Por si te sirve de algo, normalmente, lo que no te deja configurar o modificar desde la interfaz web se puede modificar accediendo a la configuracion del router desde telnet.
http://webtomich.com.ar/?p=131

¿Como crees que hice el  sysinfo && sh (acceso no documentado al BusyBox)?  ;D


Parece ser que es por el uPNP, que aunque lo deshabilites, sigue operativo y es el que expone esos puertos al exterior.

tomich

Perdón que me entrometa, pero soy el autor del blog Webtomich. No se en sus casos particulares, pero el puerto 3005 es uno de los tantos puertos genéricos, no tiene un uso universal y lamentablemente hay algunos troyanos(ya antigüos) que lo utilizaban, por lo que en internet abunda la histeria de que ese puerto es para Malware. En mi experiencia, ese puerto se usa para muchas aplicaciones VoIP y muchos juegos. En mi caso particular, se activó temporalmente por UPnP para jugar al Call Of Duty 4. También lo tenía configurado para jugar al Wolfenstein:Enemy Territory y poder entrar con dos computadoras de la red al mismo server sin ocacionar problemas.  Ya no dispongo de ESE router, pero en los dos routers que tengo ahora, esa conexión se abre al usar algunos juegos en la red Hamachi.

Espero que este comentario pueda esclarecer un poco las dudas sobre el puerto 3005.
Saludos!

Tom

tomich

Fe de erratas:
Me faltó un cero..
Donde dice 3005 va 30005. Lo mismo cuenta para el 30006

Songoku

As probado a deshabilitar la administracion remota del router? management--> access control--> services y en la tabla desmarcar todas las casillas de la columna wan.
Saludos...

Songoku

oblomov

SOngoku, yo tengo el mismo problema "irresoluble" por otra parte... y tengo desmarcadas todas las casillas wan... e incluso casi todo Lan...
Cuando le hago un nmap, me lista 30005 abierto (tcpwrapped-lo que alarma al principio, pero parece ser el filtrado por presunción que usa nmap... acabo de hacer el nmap y me figura desconocido), y al volver a pasar el escaner de puertos, el 30005 se cierra... ¿??¿?¿?

SI alguien tiene una explicación para que nmap cierre puertos... por favor, no se la callen...

No existe ningún servicio asociado, nunca, sin importar la configuración... Así que asumo que es un boquete trasero servido directamente por el firmware de telefónica...

Los que no lo cambiamos, esencialmente por pereza (y porque no somos Google, ni el FBI, ni tenemos un duro en las tarjetas así que "tonto el que te toca los cataplines")... no tenemos mucho derecho a patalear...

Sería excelente que Stash nos contara cómo lo ha resuelto...

pinkiepunky

hola,

eso es un puerto que usan los ISP, para gestionar remotamente el Router; desde la central y mediante un protocolo RPC, bajo SOAP y HTTP.


Simplemente un servidor TR-069 que lo inventaron parece ser, que en el foro dsl (https://www.broadband-forum.org/technical/download/TR-069_Amendment-2.pdf).

Desde ahí se puede actualizar el firmware por ej.

También decir que no encuentro ningún ejemplo de conexión a un CWMP de un Router COMTREND, pero sé que tiene una forma incompleta en lo que a mi respecta, como conseguir usar ese servicio...

si alguien tiene alguna información sería de mi agrado.

un saludoooo. :)