Recientemente hablé con mi ISP sobre muchas cosas, básicamente relacionadas con la seguridad de mi (pequeña) empresa, este tipo es un gurú de las redes para mí, pero hizo algo extraño que me preocupa. Básicamente, tengo una máquina de desarrollo web ubicada en mi LAN, que no tiene redireccionamiento de puertos (no es accesible desde Internet), pero él podría acceder a un servidor web desde fuera de la interfaz WAN del enrutador de alguna manera y no me diría cómo lo hizo. eso. Simplemente dice que es normal que él, siendo mi proveedor, pueda escanear puertos y acceder a los servicios de mi computadora (wtf?!?). También dijo que debería haber alguna regla que debería agregar a mi tabla de enrutamiento que debería evitarla, pero "no recuerda" su contenido. Obviamente, a los hombres les gusta entrometerse en los asuntos de otros, y aunque somos una especie de amigos, REALMENTE no me gusta.
Tengo un viejo router-in-a-box de Linux, basado en iptables 1.2-algo, y aquí están sus scripts (recorté cualquier reenvío de puertos y rechacé las reglas por brevedad). Estos eran los estándar.
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- anywhere anywhere tcp
Chain FORWARD (policy DROP)
num target prot opt source destination
1 TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
//here follows a bunch of port forwarding rules and DENY rules I set,
//and line 60 looks kind of out of place, given line 61
60 ACCEPT all -- anywhere anywhere
61 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Así que la pregunta es triple:
- ¿Cómo un ISP pudo haber accedido al puerto 80 en mi máquina sin que yo lo reenvíe en el enrutador?
- ¿Cómo puedo evitar que él o cualquier otra persona en esa red lo haga?
- explique por qué hay una línea 60 y después de eso hay una línea 61, porque, según entiendo, si algo está permitido en la línea 60, los paquetes ya podrían pasar sin siquiera llegar a la línea 61
EDIT:
Esta es mi configuración, creo que es bastante estándar:
ISP network -> their WiFi bridge -> Our router -> Our Network (with my DEV machine)
El ISP solo debe ser capaz de escanear nuestro enrutador. Todo lo que me dieron fue un enchufe a su puente WiFi que está en nuestro techo y una IP, el enrutador se compró por separado.