Tema: ¿Filtrado de IPs para limitar internet a usuarios de tu LAN?

19/06/2007, 19:33

Viendo que este sitio es de los mejores que t puedes encontrar en internet, y donde mas gente competente hay, propongo abrir un tema, que afecta a bastantes personas, segun veo.

La cosa esta en que bastante gente sule tenar una red donde se comparte internet con otros pc´s donde no sueles tener el control (vecinos, compañeros de piso...). De sobra se sabe que, con la banda ancha que hay ahora no hay problemas para navegar, pero el problema viene cuando uno de los otros pc´s le da por usar programas p2p. Sobrecarga la red, tarda bastante en abrirse lo q sea, imposibilidad de jugar a juegos on-line... Es cierto que esos programas se pueden limitar, y funciona....pero para navegar solamente, y despues de calentarles mucho la cabeza (es comprensible q ya q pagan no los van a limitarpara no descargarse nada)

Ahora bien, yo propongo una cosa, ¿y si pudieramos limitar a esos programas solo cuando necesites jugar o tener una conexion rapida por un tiempo limitao??...y sin q se enteren??

Despues de tratar muxo con este tema, he visto un rayo de luz, que es por medio del firewall de tu router. Actualmente estoy intentando filtrar puertos (los q usa los programas p2p en cada ordenata), ip entrantes, domimios... aunque estoy pegaillo en ese tema.

Unas cosas valdran y otras no, ya lo se, pero lo que e pensao es q si les filtras los puertos de subida, o las ip´s q se conectan a cada ordenador para lo de p2p, por ejemplo, a corto plazo no ocurre na (no se compartiran archivos el tiempo q estes jugando y punto), claro esta, q si lo haces por mucho tiempo le jodes el programa p2p (si no compartes no descargas) y seguro q se huelen algo. Pero si es algo pasajero no creo q se enteren.

La cosa esta en que como el filtrado lo puedes activar y desactivar cuando quieras, y se guarda el contenido de los filtros, pues quieres jugar, te metes en el router, activas los filtros, y cuando termines los desactivas (todo esto esta dentro de firewall).

Todo esto es una "idea", si alguien sabe otra cosa o entiende mas q yo sobre este tema (q eso es seguro :d), le agradeceria que postease algo, xq e estado exando un vistazo, y hay mas cosas de las q no entiendo, como filtrado de paquetes, filtrado por tamaño de estos....

De todas formas, ya os comentaré algo en mis avances, si he conseguio algo o me estoy pegando porrazos contra la pared

19/06/2007, 23:54

El problema del firewall de los router domésticos es que son una porquería.

Debes disponer de un router medianamente competente para que venga con un firewall en condiciones.

Ahora, cualquier que medianamente sepa cambiar una IP, se la cambia y a correr.

También está que el susodicho usuario cambie los puertos.

Esto requiero de un continuo estudio de la red. Ver qué puertos se están usando como tráfico p2p e irlos eliminando.

Cuidado, si te cepillar uno que use el sistema, podría de dejar funcionar algo básico como el https, servidores dns, etc, etc, etc.

20/06/2007, 16:26

No me refiero a joderles los puertos por completo, es mas, si fuese asi, se darian cuenta de momento. El hecho es q conozco los puertos q utilizan los programas p2p de mi red (los ves xq tienen q abrirlos para que descarguen rapido-en virtual server o algo parecido segun routers-).

El primer paso que e dado es reservar en el router una direccion fija segun la MAC de cada ordenador, para que no varien las direcciones ip, ya que normalmente son las mismas, pero si se desconecta o se resetea router pueden cambiar, ya q normalmente, en los ordenadores esta la opcion de asignar ip automaticamente, y el router suele hacerlo desde 192.168.1.100 hasta los ordenadores q haya, por ejemplo si hubiese 2, a uno le daria la anterior y a otro la 192.168.1.101, ahora si eso lo puedes fijar q sea siempre asi en el ruoter mejor q mejor (en todos los routers se ve quien esta conectado, su direccion MAC y su ip correspondiente;hacerlo es sencillo)

Ahora, la cosa no es bloquearselos siempre, sino cada vez q juegue o tngas q descargar algo, activar el firewall con el filtro de ip´s, donde esten bloqueados esos puertos de subida de los programas p2p, por ejemplo. Digo los puertos de subida porque creo q es el maximo problema q tienen los juegos online y las redes españolas en general.

Por supuesto, la activacion/desactivacion del firewall la puedes realizar tantas veces como quieras, asi que es muy raro q t cargues nada; si t referias a que cada vez q lo conectes puedes dejar a los otros pc´s sin internet, es cierto si no sabes q puertos poner, pero creo q t enteras rapidamente si se kedan sin internet

.

Lo que si llevas razon es q los firewall de los routers son una papa

Seguire investigando.....

03/07/2007, 22:33

No he podido dedicarle mucho al tema, pero he dado un pequeño pasito.
Las veces que sabes que no estan presentes, puedes meterte en el router y filtrarles la MAC. Se quedan sin internet pero....q se le va a hacer.
No vallais a hacer esto cuando esten delante del ordenador!!

Buscas la MAC del otro ordenador en el mismo router (que viene) y ya esta.

Y activas el firewall solo con es opcion:

Como esta configuracion se guarda, no tienes q acerlo cada vez, lo unico q tienes q hacer es clickear en el cuadrito de activar firewall

05/07/2007, 15:53

Phoenix1984ster, edita la segunda imagen, que supera los 650 píxeles de ancho, el máximo permitido.

Según qué routers hay que borrar la configuración para que el firewall impida el paso a través de un puerto previamente, y andar metiendo luego otra vez la configuración es, en dos palabras, un coñazo.

Lo que sí puede ser útil es la opción que tienen algunos routers llamada Client IP Filters. Introduces el rango de IPs a limitar y le dices qué servicios o puertos son a los que no deben acceder (si tiene algunos predefinidos como HTML, FTP, Messenger es sencillo. Si no, se agregan los puertos a mano y listo). Ahí los programas por tiempo (a la hora que empieza la restricción y a la hora en la que se libera, los 7 días de la semana configurables).
Esto hasta les puede venir bien a los padres que no quieran tener a sus hijos todo el día enganchados al messenger o navegando por la red. Les pones de 5 a 6 de la tarde y fuera de ese horario no podrán hacer nada.

P.D.: ¿Filtrar la MAC? En mi router las únicas MACs que se pueden filtrar son las de tarjetas de red inalámbricas. Por lo tanto, opción inviable en unos cuantos routers.

06/07/2007, 00:33

OK! hecho.

Yo sabia que los inalambricos filtraban la MAC, lo que no sabia es q solo lo hacian para los que se conectaban por la red inalambrica. El router del que yo dispongo solo va por LAN, por lo q si tiene esa opcion; es cuestion de routers.

Precisamente en lo q tu dices es en lo q quiero adentrarme, en el client IP filter, ya que asi le puedes cortar el programa q esta jodiendo (el emule, pando...)(por un tiempo limitado, siempre estamos hablando, luego, volverselo a poner bien) dejandole que pueda manejar internet y otras aplicaciones q no dan porculillo XD, sin problemas.

Lo que ocurre es q no se muy bien como utilizar el client IP filter, hay muchos campos q no se rellenarlos, por ejemplo, en mi router:

No tngo muy claro, si le kiero cerrar el puerto 4665 a la direccion 192.168.1.101, ¿donde tengo que poner estos datos? el puerto en el WAN o en el LAN?

1 saludo y thx!

06/07/2007, 00:49

El puerto WAN es el puerto de destino o de origen de las peticiones, es decir, de tu IP publica.

El puerto LAN, de las IP privadas.

En teoría con cortar el puerto WAN (es el puerto por donde entra el cable que viene del modem o de la linea telefónica, según el router que tengas) y no redireccionar, es suficiente.

11/07/2007, 23:36

Mmmm.. por fin se aborda el tema.... pero en mi caso soy una novata y tengo el problemon gordo de que no tengo ni idea y necesito el ordenador para estudiar y trabajar y mi hermano no quita el emule ni para dejarme mandar los trabajos de la universidad teniendo que irme yo hasta el campus para mandarlos en persona, mas que nada... porque mi futuro depende de ello. Así que... estando asi las cosas la idea me parece muy buena, pero lo mio es la historia, no la informatica XD ¿Podrías explicarlo un poco para tontos por favor? A ver si asi no tengo que llegar a las manos para conseguir algo de relax en mi vida de estudiante y laboral

Muchas gracias y perdon por la ignoracia

12/07/2007, 12:27

Pues mira, si tienes acceso al router, con quitar el enchufe es suficiente xddd.

Ahora en serio, según qué router tengas, se podrá hacer o no un filtrado de puertos.

Filtras siempre por la IP de origen-destino, que será la del PC de tu hermano; luego averigua los puertos que usa el emule y luego los bloqueas.

Si tienes el modelo de router, podré especificar más.

Un saludo!

13/07/2007, 12:43

Pues... el modelo es el zyxel de telefónica. Cómo filtro los puertos?

13/07/2007, 13:05

Sigue este manual, a ver si te vale:

http://www.adslayuda.com/Zyxel650-1.html

Entonces lo que vas a hacer es meter los puertos que use el PC para el emule y poner una IP privada que no exista (mira las IP privada de cada PC para no poner una ya existente).

Así, no llegarán las peticiones que pida el emule.

13/07/2007, 13:53

todo esto lo puedes acer muxo mas facil kon algun s.o. linux firewall(como ipcop) y puedes limitar el anxo por pc si restringir ningun puerto,tambien puedes indicarles periodos de horass k pueden conectarse y muxas mas funciones...pero necesitarias un ekipo mas ya que seria un ekipo en exclusiva dedicado para direwall,antivirus...

pd:tambien serviria smoothwall

un saludo

13/07/2007, 17:22

Hombre eso está claro, pero ya que tienes un firewall por hardware, no hay cosa mejor.

Incluso con un IP tables en un plis plas te cepillas todos los puertos.

Pero la cosa es tener una máquina linux esclusivo para firewall xdd

16/07/2007, 16:30

Pues muchísimas gracias... el problema ahora, es ke no puedo acceder al router con las claves ke ahí me pone... me dice ke no son correctas y he probado todas las combinaciones posibles de admin y 1234 XDDD

Incluso probé con adslppp@telefonicanetpa y una clave de 7 dígitos ke supuse era adslppp... pero nada.... snif...

Las cosas no pueden salir bien a la primera... esta claro XDDD

16/07/2007, 16:33

Iniciado por Laya

Pues muchísimas gracias... el problema ahora, es ke no puedo acceder al router con las claves ke ahí me pone... me dice ke no son correctas y he probado todas las combinaciones posibles de admin y 1234 XDDD

Incluso probé con adslppp@telefonicanetpa y una clave de 7 dígitos ke supuse era adslppp... pero nada.... snif...

Las cosas no pueden salir bien a la primera... esta claro XDDD

Bueno, si alguien más ha tenido acceso al router, seguramente hayan cambiado la contraseña.

Prueba a entrar desde el PORTAL ALEJANDRA

https://www.telefonicaonline.com/on/io/ ... jandra.htm

16/07/2007, 16:34

Aquí te dejo un manual

http://www.adslzone.net/imagenio-9.html

No sé si te servirá el poder usar el portal alejandra, ya que no sé exactamente si tienes que tener contratado imagenio, pero por probar, que no quede.

16/07/2007, 17:33

Oki, lo intentaré desde ahí

Pero ahora una pregunta... si el emule no tiene acceso a los puertos... se podrá navegar igual? Lo digo pork recuerdo que en un par de ocasiones cerré los puertos, y aunque el emule tenía ID baja seguia siendo imposible navegar, ya que la subida y la bajada la deja configurada a todo trapo.

16/07/2007, 17:44

Otro problema..... desde portal alejandra no me deja tocar la gestión de puertos... continuamente me dice inténtelo más tarde.... Seguiré intentándolo, que se le va a hacer...

Si lo consigo ya os comentaré

16/07/2007, 18:26

Para navegar sólo hace falta que el puerto 80 esté OK, de modo que ese puerto no se usa nunca para otras cosas.

Hay puertos "reservados" llamados "well known ports" que son puertos que son específicos de un protocolo.

Por ejemplo, el protocolo web usa el 80, el ftp el 20, el dns el 53, el ssh el 22, etc.

18/07/2007, 01:24

Laya,
A veces no merece la pena complicarse tanto la vida.

Que tu hermano quiere estar todo el dia bajando porno y tu tienes que usar la conexion para hacer algo productivo, las prioridades son claras salvo que sea el quien pague la conexion de su propio bolsillo.

Una vez tenemos claro que queremos cerrar el emule un ratillo para poder navegar con paz y tranquilidad, hay que buscar el como.

- Cable de red, si no es conexion wireless, desconectarle el cable de red sea en el router, switch, o directamente en su ordenador. El arrancarle la antena de la tarjeta Wifi puede que sea algo excesivo, aunque si usa un cacharrillo Wifi USB siempre se lo puedes quitar un ratito.

- Su PC, si lo tiene bloqueado y no puedes cerrar el emule, la opcion de darle directamente al power no es demasiado complicada. Que no tienes acceso directo al ordenador ya que cierra su habitacion con llave para que nadie cotillee en sus cajones o debajo del colchon, con apagar el general de la casa un momento se arregla el tema. Nuestra coleccion de helados no se va aestropear. Si el hermano leecher ademas tiene un SAI, mala cosa.

- Papis, si vives con tu hermano, es probable que sea bajo el techo paterno. Si este es el caso, y si de paso son ellos los que pagan la conexion a internet, es la hora del pataleo, explicales como has suspendido una asignatura ya que por culpa de tu hermano no has podido presentar a tiempo un trabajo despues de estarte 3 horas intentando mandarlo por email.

- Dialogo, con un poco de buena voluntad por su parte, quizas no le sea muy complicado configurar el emule para que se pueda acceder por web para que puedas pausar las descargas (o poner el ancho de banda a 10k/s para no perder los puestos en cola), y reanudarlas una vez acabes de hacer lo que tengas que hacer.

La ruta tecnica no siempre es necesaria, y en tu caso dudo que sea recomendable.

18/07/2007, 20:55

nop, no paga el la conexión y creeme.... lo he intentado todo... ir por las buenas, por las malas, apagar el pc.... todo. Y siempre acaba con la misma reacción: poniéndose como una fiera hasta llegar casi a las manos en un par de ocasiones. Con lo que decidí pasar y comportarme como si no hubiese internet en casa.... Pero si hubiese una manera de bloquearle el emule sin que se de cuenta cuando haga falta y luego volvérselo a poner como estaba, estupendo, así no tendría que darme tantos paseos.
He intentado a través del portal alejandra, pero a pesar de cambiar la ip, se queda la misma siempre, es decir: la cambio, doy aceptar los cambios y sigue sigue poniendo la ip de antes, asi que... creo que por ahí no van los tiros. De todos modos, gracias por haber dado tantas vueltas a esto, a ver si algún día tengo acceso al router y cambia un poco la situación

20/07/2007, 00:47

A ver, una cosita: si tu hermano le a puesto clave para entrar al router, resetealo para dejarlo con los valores de fabrica y le metes la contraseña tu para que el no lo pueda tocar. No se tu modelo como se te reseteará pero la mayoria son dejarlos 12 o 13 segundos el boton de reset pulsado o pulsar dicho boton 3 veces seguidas.

Si lo aces no te olvides de abrirle los puertos del emule para q no se huela na