Bloqueo de puertos en Comtrend hg536+
Hace un par de meses me encontré con un fenómeno curioso al trastear con un Router de Jazztel Comtrend HG536+ que ilustra las limitaciones que nos imponen los entornos gráficos de configuración facilitados por los proveedores. El caso es que la configuración marcada a través del entorno gráfico se ve alterada por algunos parámetros del fichero de configuración interno del propio aparato. De modo que cambios en el entorno para cerrar algunos puertos no producían el efecto deseado. Veamos lo que pasaba…
El inicio de todo fue la consulta del log de sistema del Router que mostraba algunos mensajes de kernel intrusion, correspondientes a intentos de conexión de servidores externos a la IP dinámica que tenía el Router en ese momento. Simplemente nos informaba de posibles intentos de establecer conexiones pero fue el detonante de una inspección más detallada.
Tras comprobar la configuración del interfaz web y ver que todo parecía correcto lancé un test para examinar los puertos abiertos esperando verlos todos cerrados tal y como se especificaba en la configuración revisada del interfaz gráfico… ¡Sorpresa!
Los puertos de acceso remoto por SSH y TELNET siguen abiertos así como también el puerto 80. Curioso cuanto menos. Veamos el motivo de la «disfunción» editando el contenido del fichero de configuración que podemos exportar desde Management – Settings – Backup para editarlo posteriormente con calma.Observamos que la opción de Firewall aparece marcada como desactivada:
<entry1 vccId=»1″ conId=»1″ name=»br_8_35″ protocol=»BRIDGE» encap=»LLC» firewall=»disable» nat=»disable» igmp=»disable» vlanId=»-31700″ service=»enable»/>
Cambiamos apropiadamente el valor para activar las funciones de Firewall del Router y tras guardar y resetear volvemos a comprobar los puertos abiertos.
<entry1 vccId=»1″ conId=»1″ name=»br_8_35″ protocol=»BRIDGE» encap=»LLC» firewall=»enable» nat=»disable» igmp=»disable» vlanId=»-31700″ service=»enable»/>
Finalmente, hemos bloqueado adecuadamente los puertos como se pretendía inicialmente a pesar de las trabas del entorno gráfico. Espero que os sirva la información para estar atentos a todas esas opciones que no vemos porque nos ocultan los proveedores en los Firms de empresa. Conectarse por Telnet siempre es una buena opción y examinar el fichero de configuración también.