[SebCav]

Ciao,
che voi sappiate, c'e' modo di chiudere le porte del Fastgate Technicolor DGA4131 lato internet e lasciarle aperte invece lato rete interna?
Ho da poco ottenuto l'ip pubblico da Fastweb, e ho scoperto con un banale portscan sull'ip pubblico che rimangono esposti molti servizi:

PORT STATE SERVICE
53/tcp open domain
139/tcp open netbios-ssn
445/tcp open microsoft-ds
5000/tcp open upnp
8888/tcp open sun-answerbook

Usando l'ip pubblico il router risponde a query dns e se faccio \\<ip-pubblico> da Windows esce la schermata di richiesta nome utente e password (non ho un pendrive sottomano con cui provare ma immagino che se ci fosse potrei raggiungere il pendrive da internet...).
Su udp e' anche peggio, espone quelli qui sopra ma anche ntp e altro ancora...

Le due che mi preoccupano di piu' sono l'upnp (che non so come usare ma suppongo possa fare giochetti strani con le porte e il forwarding) e la 8888 che sembra un http a uso interno.

Ho provato ad attivare il firewall, ma non cambia nulla. Ho spento a mano tutti i servizi upnp, dlna, etc da GUI del router e idem rimangono aperte. Per ora l'unico modo che ho trovato per bloccarle e' stato impostare a mano delle regole di mappatura porte, sempre dalla GUI del router, in modo da redirigerle su un IP inesistente sulla rete. Non mi piace molto come soluzione e soprattutto non funziona con la porta 8888, che rimane quindi aperta e funzionante.

Qualcuno sa cosa c'e' sulla 8888, cosa si rischia a lasciarla esposta e se c'e' modo di bloccarle tutte?
Grazie

[FrancYescO]

Per bloccare puoi aggiungere regole di questo tipo in /etc/config/firewall

Codice: [Seleziona]

config rule 'Deny_53_udp'
        option name 'Deny_53_udp'
        option src 'wan'
        option dest 'wan'
        option proto 'udp'
        option dest_port '1900'
        option target 'DROP'e dopo /etc/init.d/firewall restart per farle caricare

ma mi sembra alquanto strano una cosa del genere, il port scan lo hai fatto partire da un'altra rete? altrimenti potrebbe essere il nat loopback a fare magie...

per vedere chi e' sulla 8888 prova con netstat -tulpn | grep LISTEN, sul mio 4131 comunque non vedo tutte quelle porte esposte su lan, anche se non e' connesso con fastweb ma in pppoe

[SebCav]

Ottimo suggerimento quello di controllare proprio da un'altra rete, in effetti usando un tool di port scan online vedo aperta solo la 8888. Mi ha ingannato il port mapping che si comporta in modo differente se si usa l'ip esterno invece che quello pubblico...

Ad es usando il servizio dns, il lookup va a buon fine sia usando come server l'ip interno (del tipo: nslookup www.alice.it 192.168.0.254) sia usando l'ip pubblico (unica differenza con l'ip interno il server si presenta come Openwrt.lan mentre nell'altro caso come xxx..fastwebnet.it). Se però metto la regola di port mapping da GUI per deviare le richieste dns su un ip inesistente, il lookup con l'ip interno funziona ancora, mentre quello sull'ip pubblico smette di funzionare.

A questo punto immagino che il firewall blocchi le richieste solo se provengono da fuori, e che invece il port mapping venga fatto solo sull'ip pubblico...

Grazie per aver risposto, mi hai risparmiato parecchi grattacapi

[LuKePicci]

In realtà ne ha qualcuna aperta lato wan ma bloccata in ingresso da fastweb che quindi troveresti probabilmente aperta connettendo ad un ISP diverso. Ad esempio mi pare abbia aperta un porta telnet su wan a cui però solo alcuni ip interni a fastweb possono connettersi. Per ognuna di queste c'è una esplicita regola di ALLOW aggiunta appositamente da fastweb o chi per essa e che potete disabilitare in /etc/config/firewall

[floatingpurr]

Ciao, stesso problema anche qui dopo aver richiesto un IP Pubblico. Mi trovo aperte queste porte:

PORT     STATE  SERVICE
445/tcp  closed microsoft-ds
8888/tcp open   sun-answerbook

Avevo pensato che fossero per la loro gestione remota, ma non sono sicuro che sia così e forse andrebbero chiuse. Si può fare col firmware originale fornito da FW?