Significado Status close

Hi:

Hola tengo la siguiente duda, acabo de configurar un router marca X, ya salen los pc's por ese router a Internet. Ahora me comentan que tengo abrir algunos puertos http://www.flickr.com/photo_zoom.gne?id=77982059&size=o el 3389 redireccionado a un servidor y 443/444 redireccionado a un puesto de trabajo

El primer rediccionamiento funciona perfectamente (pueden conectarse remotamente por terminal server al servidor).

Los problemas los tengo con el redireccionamiento del puerto 443/444 hacia el puesto de trabajo, según me han comentado para que les funcione el tema de certificados tiene que estar abiertos los puertos en el router. Para verificar que funciona el redireccionamiento me conecto a la web https://www.delta.mtas.es y al picar en una de las secciones “Renovar Certificado” me muestra que la página de que no se puede mostrar las web. (Desde otro pc que no tiene el certificado me muestra que esa página requiere un certificado).

Parece ser que el no hay conexión entre entre el pc y el servidor donde esta la web, yo creo que he abierto los puertos en el router tal como muestra la captura anterior. Para salir de dudas realizo desde una máquina externa un nmap y me da este resultado:

PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http
443/tcp closed https
444/tcp closed snpp
3389/tcp open ms-term-serv


Ahora es cuando tengo la duda de que significa el state closed en el puerto 443, si aparentemente el en router esta abierto ¿por que aparece como closed,? puede ser que el router este abierto ¿ pero la máquina donde esta redireccionado no tiene ningun software a la escucha?

Hola,

Exacto (tal y como yo lo veo), no tienes nada "escuchando" en el 443/444.

... aunque me puedo equivocar ...

Saludos.

Pues yo lo veo así:
La página renovar_index.jsp solo admite autenticación con certificado.
Si entras sin certificado te manda al error 403.17
Si entras con certificado te manda a otro sitio que es el que no funciona.
Podemos deducir que si estamos accediendo ya que esa web esta funcionando, redireccionando a un sitio o a otro según entres con o sin certificado.
Un saludo

Hi:

yo también lo veo como tu dices, si picas en renovar certificado si no tienes un certificado te tira el error 403.17, en el caso que estamos que si se tiene el certificado, nos tira el error 440 página no encontrada y ¿por que tira ese error?

Tras tirar de teléfono para comunicarme con el soporte de delta me dicen que ese error es de comunicación, no hay comunicación entre el pc y el servidor:

“debe habilitar los puertos 444 y 443, tanto de entrada y salida de datos, en su router”

Yo le comento, los puerto ya están abiertos y redireccionados al pc, pero el pc no esta a la escucha, no tiene ningún software que le diga que este alerta, no se va enterar nunca, de todos modos la entrada de tráfico esta habilitada a los puertos que me dice, además así lo muestra el resultado del nmap. Para terminar con esta cuestión le comento que me explique que es abrir puertos para salida de datos, silencio .... ¿Alguien me los puede explicar?

Bueno, el soporte técnico me dice que vamos a realizar una prueba para ver si hay conectividad, para ello me hacen ir a pc el cual tiene problemas , realizo las pruebas, OK engancho. Resulta que desde mi casa sin tener los puertos abiertos la prueba es buena:

#telnet 212.170.240.61 444
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

#telnet 212.170.240.61 443
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

tcp 0 0 curro:36060 delta.delta.mtas.e:snpp ESTABLISHED
tcp 0 0 curro:58607 delta.delta.mtas.:https ESTABLISHED

Bueno tras las pruebas realizadas ahora el soporte técnico, me dice “aparentemente (nunca se mojan) si hay conexión, la culpa será del certificado, estará dañado pida otra”,

Y aquí estoy esperando el nuevo certificado

Pues la verdad desconozco el dispositivo con el que estas trabajando pero a mi entender y si he visto las cosas bien, ademas por lo que se de trabajar con firewalls has de crear dos politicas. Una politica es de entrada y otra de salida. Por lo que veo tambien el software no se que posibilidades tengas de habilitar esas politicas. Sin mbargo postea todo lo que te aparezca en la visualizacion de nmap.

Cual es la marca X del router y que funcion esta cumpliendo en tu empresa.

Saludos

Otra cosa, si en esa especie de firewall tu no creas politicas acerca de algo, entonces los puertos estan, uy no me acuerdo no se si vienen cerrados por default o si estaran abiertos, el caso es que puedes hacer la prueba quitando esas politicas.

El certificado es independiente de conectividad, obviamente has de tener el puerto abierto. Si te acuerdas nmap los puertos que no muestra es porque no tienen actividad, ni estan abiertos ni cerrados.

###Resultado del nmap

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-12-27 12:35 CET
Interesting ports on 224.Red-80-24-124.staticIP.rima-tde.net (80.24.124.224):
(The 1656 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http
443/tcp closed https
444/tcp closed snpp
3389/tcp open ms-term-serv

Nmap finished: 1 IP address (1 host up) scanned in 31.072 seconds

###Resultado telnet

#telnet 212.170.240.61 444
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

#telnet 212.170.240.61 443
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

###Resultado Netstat
tcp 0 0 curro:36060 delta.delta.mtas.e:snpp ESTABLISHED
tcp 0 0 curro:58607 delta.delta.mtas.:https ESTABLISHED

El router es un conceptronic C54APRA, tal como comentas este router dispone de firewall pero está desactivado y también permite crear filtros (creo que es lo que tu llamas reglas), yo la utilidad de los filtros las utilizo para denegar, de todas formas no he creado ningún filtro, así que esta permitido todo el tráfico de datos tanto como para la LAN como para la WAN.

La función del router, la primera que la LAN de 10 pc's dispongan de servicio de navegación, correo, etc (Conseguido). La segunda función es que desde el exterior se pueda acceder por terminal server (Conseguido).

Definitivamente los puertos que has escaneado son los puertos que por decirlo de alguna manera tienen alguna actividad, el resto de los puertos estan desocupados sin hacer nada. Definitivamente tienes el puerto 443 cerrado, tienes que abrirlo, o si el router tiene una ip publica puedes escanearlo desde fuera de alguna manera o no se si sea una red interna....

Otra cosa que no entiendo es porque tienes el puerto 80 abierto en donde lo configuraste o si venia por default. REvisa eso...

Saludos

Hi:

Me has roto todos los esquemas, no se porque dices que tengo el puerto 443 cerrado. Tanto para el 444, 443 y para el 3389 he realizado los mismos pasos que he realizado a cada puerto lo he redireccionado a la maquina correspondiente.

Previamente antes de redireccionar los puertos, realizas un nmap desde una máquina externa a la ip pública del router el resultado es este:

20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http

Tras redireccionar los puertos y desde una máquina externa a la ip publica del router el resultado es este:

20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http
443/tcp closed https
444/tcp closed snpp
3389/tcp open ms-term-serv

Con esta prueba del nmap antes y después de redireccionar (abrir los puertos) opino que el router esta con los puertos abiertos. Otra cosa es el status que muestra, por que el 3389 esta en open, por que la máquina donde esta rideccionado 192.168.0.110 tiene un w2k server con terminal server que le pone al eschuca. Por que los puertos 443, 444 tienen el status close, pues por que el pc donde va rideccionado 192.168.0.118 un XP+SP2 no tiene ningun software que le diga que este a la escucha.

El puerto 80 creo que lo activó el router cuando lo configure para acceder via www desde internet a la configuración desde una ip específica

La verdad estoy bastante confundido acerca de tus ruebas jejeje. O sea lo que pasa es que no tienes abierto el puerto de https en apache ¿ o si? ¿Que entiendes por redireccinar?

Espero que no te este confundiendo pero tu sabes que eso desde la distancia es un poco complejo solucionar ese tipo de problemas.

Saludos

Hi:

Reconozco que no soy un hacha escribiendo, pero voy a intentar e simplificar el tema. Vuelvo a replantear mi post.

Tengo una LAN que salen a internet por un router X, dentro de esa LAN hay una usuaria que desde su puesto de trabajo WINXP+SP2 tienen que conectar con una web vía internet, para tramitar los partes de accidentes de los trabajadores, esta web es de una tercera empresa que la tiene alojada en sus servidores.

La usuaria desde su puesto de trabajo se conecta a la web pero cunado pica en los menús le muestra que no se puede mostrar la página. Llamo al soporte técnico de la “tercera empresa” le comento lo que pasa y me dicen que es fallo de comunicación y que soluciona abriendo los puertos 444, 443 tanto de entrada y salida del router de la LAN ¿los de salida?. Bueno antes de continuar realizo un nmap desde mi casa al router (de la LAN donde tengo el problema) que tiene una ip pública fija:

20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http

Yo abro los puertos del router, que es lo que yo llamo “redireccionar”, al abrir los puertos le estoy diciendo al router que todo el tráfico que venga al puerto X del exterior se lo mande al puesto de trabajo con la ip x.x.x.x el cual tienen algún software instalado que le dice que este a la escucha en el puerto X.
Tras abrir los puertos del router llamo a una persona para que haga otro nmap desde el exterior al router (de la LAN donde tengo el problema) y el resultado es este:

20/tcp closed ftp-data
21/tcp closed ftp
53/tcp closed domain
80/tcp open http
443/tcp closed https
444/tcp closed snpp
3389/tcp open ms-term-serv

Se supone que ya están abiertos del router, pero aparecen con status close, ¿por que? mi teoría es que el pc de la usuaria no tiene ningún software que esta a la escucha.

Bueno para no seguir escribiendo un chorizo de texto me paro aquí si ves que ya no estas tan confundido me lo comentar y seguiré con la parrrafada .....

He hecho unas pruebas en un router al que yo desafortundamente no tengo acceso aqui en casa. El hecho es que yo tengo un router aqui en casa que es el que me provee internet adsl. Le hice un nmap scan y me aparecio esto...

constantemente puedo tener acceso ssh desde cualquier equipo desde algun cafe internet o cualquier otro sitio mediante putty o sea ssh. Aunque no tengo como ves el puerto 22 de ssh abierto tengo acceso desde fuera a mi maquina que esta detras de este router.

Aparte he buscado info acerca de los estados de los puertos que detecta nmap ojala esto te sirva a ver si solucionamos tu problema.

¿puedes probar todos los puertos del router? La verdad los router no sirven como firewall, asi que podias dejar todos los puertos abiertos para hacer pruebas. Generalmente en las web de los fabricantes de esos aparatos encuentras pdf's con tutoriales sobre sus productos.

Otra pregunta es que la usuaria no debe tener abierto ningun puerto porqu eesta actuando de cliente. ¿Has mirado el firewall del maravillloso XP a veri si esta desactivado?

Saludos

Hi,


Parece que ya nos vamos entendiendo, el pc de la usuaria hace de cliente, se conecta por medio dl navegador al servidor web donde se aloja la página de delta, el cual si tiene los puertos a los puertos abiertos por medio del software (apache, IIS, lo que sea, ...) que utilice la tercera empresa. Y es aquí donde yo me pregunto desde el primer día, por que dicen que tengo que abrir los puertos del router para que haya conectividad entre la parte cliente (el pc desde el navegador) y la parte servidor (el servidor páginas web's) si la parte cliente no esta nunca a la escucha, no tiene ningún software (la comunicación se hace por Internet explorer) que le diga PC atento que hemos conectado con el servidor y nos va mandar datos por le puerto 443.

Tienes toda la razon. Generalmente los usuarios no tienen acceso a abrir puertos determinados. no se en windows como funcionara pero como usuario de linux has de saber que cuando eres un usuario solamente puedes mantener conexiones con puertos superiores al 1023, mientras que root tiene la capacidad de abrir todos. Por ejemplo

Esta peticion que ves es que yo intente entrar a forosdelweb. mi puerto abierto NO es el 80, mientras que el puerto que me responde en foros o en la pagina que sea si que abre. Supongo que el problema radica en otro lado.

¿Has probado meter knoppix en el pc de tu usuaria y ahcer pruebas desde el navegador con lamisma ip que ella posee o con otra cualquiera?

Saludos

Hi:

No estoy muy seguro pero creo recordar que el software de Bill también se reserva algún rango de puertos para tareas administrativas.

Bueno al grano lo que intentaba decir en unos de lo anteriores post, que mejor forma de demostrar que si hay comunicación entre el servidor de la tercera empresa y cualquier pc sin tener los puertos abiertos (del rotuer de la parte cliente), es la de conectar por telnet al servidor, por ejemplo esto que lo que sucede si pruebo desde mi casa.



#telnet 212.170.240.61 444
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

#telnet 212.170.240.61 443
Trying 212.170.240.61...
Connected to 212.170.240.61. Engancho OK

###Resultado Netstat
tcp 0 0 curro:36060 delta.delta.mtas.e:snpp ESTABLISHED
tcp 0 0 curro:58607 delta.delta.mtas.:https ESTABLISHED


¿Crees que así, se demuestra que para que se produzca comunicación, hace falta que abrir puertos en router de la parte cliente?

Definitvamente no es un problema de puertos ni de routers. ¿Has probado con el live cd desde la mism maquina que usa la usuaria en cuestion?

Saludos

Hi:

No he podido probarlo bajo una sarge, por que cuando accedes a cualquier opción de la web te pide el certificado digital, cosa que como es de costumbre no tienen backup del certificado y no puedo instalarlo en mi portátil, así que desde mi portátil suplantando el pc de la usuaria, al picar en los menús te muestra el error de que no se ha encontrado el certificado, cosa que es normal.

El tema es que los dos factores que influyen en el problema, son la conectividad y el certificado digital. Creo que que las pruebas reflejan que se produce la conexión entre el cliente y el servidor, como demuestran las pruebas, así que como me dijeron en el soporte técnico después convencerles de explicarles que es nmap, que es un netstat etc ... “puede que el certificado digital este dañado”

Y ahi me quedé, le dejé orden a la usuaria de que revocara el certificado que “está dañado” y que pida otro certificado. Ahora solo falta ver si me llaman para ver que ha pasado

¿has probado con alguna otra pagina con https? Prueba con algun banco o algo asi a ver que sucede...

Saludos

Hi:

Me apuntaré esto último que has comentado cuando me avisen de que tienen el nuevo certificado lo pondré en práctica