PING A UN FIREWALL

gracias por la orientación, pero bueno para que me ayude
el firewall es el etrust.
a ver si te entendí, si yo le doy un ping a mail.xxxxx.com
y me da la ip pero me sale que el tiempo esta agotado, sin embargo yo cuando
le doy ping al numero ip que me arrojo, tampoco me responde me sale tiempo
de espera agotado.
que pudo pasar.

yo quiero escanear y tampoco me responde nada.
en conclusiones no le puedo hacer ni ping ni escanear.
que puede estar sucediendo en este servidor.
dentro de la empresa funciona todo perfecto. lo que me queda la duda es como
se origino esto y en donde lo realizo.
es muy bueno hacer esto me parece, o tiene alguna desventaja...?


"Ivan [MS MVP]" escribió en el mensaje
news:

No tienen que ver nada una cosa con la otra. Un ping es trafico ICMP y un
escaneo de puertos esta relacionado con trafico TCP y UDP. Por lo tanto,
de nada sirve bloquear el trafico ICMP si no utilizas el filtrado de
paquetes para bloquear puertos TCP y UDP.
Tampoco es posible evitar que alguien realice un escaneo de puertos, lo
unico que se puedes hacer es utilizar el filtrado para que dichos puertos
no puedan recibir peticiones.

Si tu firewall es ISA y ademas nos dices la version, quizas te podamos
orientar mejor al respecto.

Un saludo.
Ivan
MS MVP ISA Server


"Arturo" escribió en el mensaje
news:%

hola forum..
bueno quisera saber como puedo lograr que una persona desde afuera no
logre hacer ping a mi firewall y asi que no me scanen los puertos.

Ok gracias por la esplicacion esto esta muy claro ya, lo ultimo que quice
decir es como yo puedo filtrar, es en la tarjeta de red verdad...? y donde
filtro el icmp, ya que solo me sale TCP , UDP y IP.
y cuando le doy agregar me sale para que le coloque el numero de puerto.
cual es el de icmp.

y gracias nuevamente por la paciencia hombre..

atte. Arturo
"Ivan [MS MVP]" escribió en el mensaje
news:

"Arturo" escribió en el mensaje
news:

gracias por la orientación, pero bueno para que me ayude
el firewall es el etrust.
a ver si te entendí, si yo le doy un ping a mail.xxxxx.com
y me da la ip pero me sale que el tiempo esta agotado, sin embargo yo
cuando le doy ping al numero ip que me arrojo, tampoco me responde me
sale tiempo de espera agotado.
que pudo pasar.

Esta filtrado el trafico ICMP, no esta permitido para que me entiendas

yo quiero escanear y tampoco me responde nada.

Porque hay filtrado y unicamente te responderan aquellos puertos en los
que no hay filtrado y estan permitidos por la directiva del firewall.

en conclusiones no le puedo hacer ni ping ni escanear.
que puede estar sucediendo en este servidor.

Pues que tiene un cortafuegos y solo podras establecer la comunicacion con
los puertos que permite la directiva del firewall. Si no hay nada
permitido, pues es de logica

dentro de la empresa funciona todo perfecto.

Hombre... no das detalles de tu implementacion pero es de toda logica que,
por poner un ejemplo, desde internet no puedas hacer un telnet al puerto
135 TCP y si desde la red interna..
Si desde internet son accesibles ciertos servicios, como SMTP, POP3, HTTP,
si podras realizar un telnet al puerto en el que escuchan dichos
servicios, pero el resto, si no estan permitidos en la directiva del
firewall no.

lo que me queda la duda es como se origino esto y en donde lo realizo.
es muy bueno hacer esto me parece, o tiene alguna desventaja...?

Lo siento, no se que quieres decir.

Un saludo.
Ivan
MS MVP ISA Server

No tienen que ver nada una cosa con la otra. Un ping es trafico ICMP y un
escaneo de puertos esta relacionado con trafico TCP y UDP. Por lo tanto, de
nada sirve bloquear el trafico ICMP si no utilizas el filtrado de paquetes
para bloquear puertos TCP y UDP.
Tampoco es posible evitar que alguien realice un escaneo de puertos, lo
unico que se puedes hacer es utilizar el filtrado para que dichos puertos no
puedan recibir peticiones.

Si tu firewall es ISA y ademas nos dices la version, quizas te podamos
orientar mejor al respecto.

Un saludo.
Ivan
MS MVP ISA Server


"Arturo" escribió en el mensaje
news:%

hola forum..
bueno quisera saber como puedo lograr que una persona desde afuera no
logre hacer ping a mi firewall y asi que no me scanen los puertos.

"Arturo" escribió en el mensaje
news:

gracias por la orientación, pero bueno para que me ayude
el firewall es el etrust.
a ver si te entendí, si yo le doy un ping a mail.xxxxx.com
y me da la ip pero me sale que el tiempo esta agotado, sin embargo yo
cuando le doy ping al numero ip que me arrojo, tampoco me responde me sale
tiempo de espera agotado.
que pudo pasar.

Esta filtrado el trafico ICMP, no esta permitido para que me entiendas

yo quiero escanear y tampoco me responde nada.

Porque hay filtrado y unicamente te responderan aquellos puertos en los que
no hay filtrado y estan permitidos por la directiva del firewall.

en conclusiones no le puedo hacer ni ping ni escanear.
que puede estar sucediendo en este servidor.

Pues que tiene un cortafuegos y solo podras establecer la comunicacion con
los puertos que permite la directiva del firewall. Si no hay nada permitido,
pues es de logica

dentro de la empresa funciona todo perfecto.

Hombre... no das detalles de tu implementacion pero es de toda logica que,
por poner un ejemplo, desde internet no puedas hacer un telnet al puerto 135
TCP y si desde la red interna..
Si desde internet son accesibles ciertos servicios, como SMTP, POP3, HTTP,
si podras realizar un telnet al puerto en el que escuchan dichos servicios,
pero el resto, si no estan permitidos en la directiva del firewall no.

lo que me queda la duda es como se origino esto y en donde lo realizo.
es muy bueno hacer esto me parece, o tiene alguna desventaja...?

Lo siento, no se que quieres decir.

Un saludo.
Ivan
MS MVP ISA Server

La verdad es que tratandose de otro firewall, no estaria demas mirar su
propio manual, donde seguro que tienes informacion sobre ello. Como tu
comprenderas, no tengo ninguna intencion en leerme yo el manual por ti ;-)
Si seria ISA, ten por seguro que no me costaria nada decirtelo.
ICMP es un protocolo distinto de TCP y UDP, no hay puertos.
http://www.tcpipguide.com/free/t_toc.htm
El firewall, deberia dejarte especificar TCP, UDP, ICMP y otro tipo de
protocolos especificando el numero de protocolo.
http://www.iana.org/assignments/protocol-numbers

Cuando se permite o deniega el protocolo ICMP en la directiva del firewall,
tambien es necesario definir que tipos y codigos de ICMP se permiten.
Quizas, especulando un poco, si seleccionas IP y te permite especificar un
numero de protocolo, el 1, puedas especificar el codigo y tipo de ICMP. En
el primer enlace que te he pasado tienes informacion sobre los distintos
tipos de mensajes ICMP, siendo el ping: code 0, type 8

Y no te preocupes que tengo bastante paciencia ;-)

Un saludo.
Ivan
MS MVP ISA Server
"Arturo" escribió en el mensaje
news:%23qaTQ$

Ok gracias por la esplicacion esto esta muy claro ya, lo ultimo que quice
decir es como yo puedo filtrar, es en la tarjeta de red verdad...? y donde
filtro el icmp, ya que solo me sale TCP , UDP y IP.
y cuando le doy agregar me sale para que le coloque el numero de puerto.
cual es el de icmp.

y gracias nuevamente por la paciencia hombre..

atte. Arturo
"Ivan [MS MVP]" escribió en el mensaje
news:

"Arturo" escribió en el mensaje
news:

gracias por la orientación, pero bueno para que me ayude
el firewall es el etrust.
a ver si te entendí, si yo le doy un ping a mail.xxxxx.com
y me da la ip pero me sale que el tiempo esta agotado, sin embargo yo
cuando le doy ping al numero ip que me arrojo, tampoco me responde me
sale tiempo de espera agotado.
que pudo pasar.

Esta filtrado el trafico ICMP, no esta permitido para que me
entiendas

yo quiero escanear y tampoco me responde nada.

Porque hay filtrado y unicamente te responderan aquellos puertos en los
que no hay filtrado y estan permitidos por la directiva del firewall.

en conclusiones no le puedo hacer ni ping ni escanear.
que puede estar sucediendo en este servidor.

Pues que tiene un cortafuegos y solo podras establecer la comunicacion
con los puertos que permite la directiva del firewall. Si no hay nada
permitido, pues es de logica

dentro de la empresa funciona todo perfecto.

Hombre... no das detalles de tu implementacion pero es de toda logica
que, por poner un ejemplo, desde internet no puedas hacer un telnet al
puerto 135 TCP y si desde la red interna..
Si desde internet son accesibles ciertos servicios, como SMTP, POP3,
HTTP, si podras realizar un telnet al puerto en el que escuchan dichos
servicios, pero el resto, si no estan permitidos en la directiva del
firewall no.

lo que me queda la duda es como se origino esto y en donde lo realizo.
es muy bueno hacer esto me parece, o tiene alguna desventaja...?

Lo siento, no se que quieres decir.

Un saludo.
Ivan
MS MVP ISA Server