Revision de reglas iptables para un servidor web, necesito su sabia opinion.(solucionado)

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Avatar de Usuario
elhui2
Forista Medio
Forista Medio
Mensajes: 361
Registrado: Vie Abr 11, 2008 7:00 am
Ubicación: D.Fectuoso
Contactar:

Revision de reglas iptables para un servidor web, necesito su sabia opinion.(solucionado)

Mensaje por elhui2 » Mié Oct 05, 2011 10:56 pm

Hola, estoy haciendo un script para meter algo de seguridad en un pequeño server de paginas de internet que tenemos en la empresa, pero como es un server remoto no quiero meter la pata cuendo corra las reglas, por esto necesito revisar que no este nada mal, revise mas de 5 veces mi script, y aun asi me gustaria que me dieran su opinion, sea buena o mala, todo es de mucha ayuda.

Código: Seleccionar todo

#Reglas de acceso al servidor
#Solo bloquear algunos pueros.
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# El puerto 80 de www debe estar abierto por que es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Abro el puerto 8443 que es por donde trabaja el cpanel
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p udp --dport 8443 -j ACCEPT

#Abro el puerto 22 por donde trabaja el ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Cierro el puerto 21 ya que todas las transferencias quiero que sean por sftp y no por ftp
iptables -A INPUT -p tcp --dport 21 -j DROP

# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024 DROP
iptables -A INPUT -p udp --dport 1:1024 DROP

# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -p udp --dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script
Espero que no falte nada respecto a servicios, aplicaciones Etc. y espero sus respuestas con ansia y como siempre muchas gracias compañeros foreros!!!

saludos.
elhui2.
Última edición por elhui2 el Jue Oct 06, 2011 11:40 pm, editado 1 vez en total.
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Mi Blog
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por mcun » Jue Oct 06, 2011 1:18 am

se ve bien y si no da errores a de funcionar, no obstante yo prefiero las políticas DROP por defecto ...
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
ramonovski
Forista Medio
Forista Medio
Mensajes: 398
Registrado: Lun Sep 06, 2010 4:30 am

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por ramonovski » Jue Oct 06, 2011 6:21 am

prefiero las políticas DROP por defecto ... [2]
scrotwm@FreeBSD
pekwm@Sabayon
::vim::zsh::urxvtd|blog::dotfiles::last.fm
Avatar de Usuario
elhui2
Forista Medio
Forista Medio
Mensajes: 361
Registrado: Vie Abr 11, 2008 7:00 am
Ubicación: D.Fectuoso
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por elhui2 » Jue Oct 06, 2011 6:47 pm

ramonovski escribió:prefiero las políticas DROP por defecto ... [2]
mcun escribió:se ve bien y si no da errores a de funcionar, no obstante yo prefiero las políticas DROP por defecto ...
Disculpen mi ignorancia, he googleado eso y no encuentro info concreta, como activo las politicas DROP por defecto???

Gracias por sus coments!

saludos.
elhui2.
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Mi Blog
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por mcun » Jue Oct 06, 2011 8:13 pm

Pues esta en el mismo manual donde tomastesl script es (el del amigo Pello Xabier ) o se le parece mucho .

como sea http://www.pello.info/filez/firewall/iptables.html
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
elhui2
Forista Medio
Forista Medio
Mensajes: 361
Registrado: Vie Abr 11, 2008 7:00 am
Ubicación: D.Fectuoso
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por elhui2 » Jue Oct 06, 2011 9:01 pm

mcun escribió:Pues esta en el mismo manual donde tomastesl script es (el del amigo Pello Xabier ) o se le parece mucho .

como sea http://www.pello.info/filez/firewall/iptables.html
Seeeee esta de lujo, primero hare unas pruebas con mi pc de casa no quiero cerrar el acceso al servidor y como es remoto de verdad seria un lio.

Gracias por sus respuestas, intento y les cuento como me fue xD

Saludos.
elhui2.
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Mi Blog
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por mcun » Jue Oct 06, 2011 9:07 pm

comentanos pues
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
elhui2
Forista Medio
Forista Medio
Mensajes: 361
Registrado: Vie Abr 11, 2008 7:00 am
Ubicación: D.Fectuoso
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.

Mensaje por elhui2 » Jue Oct 06, 2011 11:41 pm

mcun escribió:comentanos pues
Jaja noto mucha emocion de tu parte :cry:

aqui les tengo como quedo mi script:

Código: Seleccionar todo

#Reglas de acceso al servidor
#Solo bloquear algunos pueros.
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# El puerto 80 de www debe estar abierto por que es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Abro el puerto 8443 que es por donde trabaja el cpanel
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p udp --dport 8443 -j ACCEPT

#Abro el puerto 22 por donde trabaja el ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Cierro el puerto 21 ya que todas las transferencias quiero que sean por sftp y no por ftp
iptables -A INPUT -p tcp --dport 21 -j DROP

# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024 DROP
iptables -A INPUT -p udp --dport 1:1024 DROP

# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -p udp --dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script
y me funciona de vicio y si le sirve a alguien no se olviden de guardar la config para cuando se reinicie el server esto en CentOS:

Código: Seleccionar todo

#service iptables save
para debian e hijas seria algo asi:

Código: Seleccionar todo

sudo /etc/init.d/iptables save
Gracias por su ayuda.
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Mi Blog
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.(solucionado)

Mensaje por mcun » Vie Oct 07, 2011 1:18 am

delicioso ;)
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Revision de reglas iptables para un servidor web, necesito su sabia opinion.(solucionado)

Mensaje por Kde_Tony » Lun Oct 10, 2011 5:23 pm

prefiero Shorewall o APF ... jijijij ... pero las veo bien, salvo que no trabajes con Mysql (3306).. todo bien, te recomiendo abrir el 443 (SSL)
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje