| Autor |
Mensaje |
elhui2
Forista Medio
Registrado: Jue Abr 10, 2008 11:00 pm Mensajes: 316 Ubicación: D.Fectuoso
|
 Publicado: Mié Oct 05, 2011 2:56 pm |
|
Hola, estoy haciendo un script para meter algo de seguridad en un pequeño server de paginas de internet que tenemos en la empresa, pero como es un server remoto no quiero meter la pata cuendo corra las reglas, por esto necesito revisar que no este nada mal, revise mas de 5 veces mi script, y aun asi me gustaria que me dieran su opinion, sea buena o mala, todo es de mucha ayuda. Código: #Reglas de acceso al servidor
#Solo bloquear algunos pueros.
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
# El puerto 80 de www debe estar abierto por que es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Abro el puerto 8443 que es por donde trabaja el cpanel
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p udp --dport 8443 -j ACCEPT
#Abro el puerto 22 por donde trabaja el ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Cierro el puerto 21 ya que todas las transferencias quiero que sean por sftp y no por ftp
iptables -A INPUT -p tcp --dport 21 -j DROP
# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024 DROP
iptables -A INPUT -p udp --dport 1:1024 DROP
# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -p udp --dport 10000 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
Espero que no falte nada respecto a servicios, aplicaciones Etc. y espero sus respuestas con ansia y como siempre muchas gracias compañeros foreros!!! saludos. elhui2.
_________________
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Web
Mi nuevo blog
Última edición por elhui2 el Jue Oct 06, 2011 3:40 pm, editado 1 vez en total
|
|
|
|
|
mcun
Moderador
Registrado: Dom Abr 18, 2010 4:30 pm Mensajes: 2791 Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
|
Publicado: Mié Oct 05, 2011 5:18 pm |
|
|
|
|
ramonovski
Forista Medio
Registrado: Dom Sep 05, 2010 8:30 pm Mensajes: 398
|
Publicado: Mié Oct 05, 2011 10:21 pm |
|
|
prefiero las políticas DROP por defecto ... [2]
_________________
scrotwm@FreeBSD
pekwm@Sabayon
::vim::zsh::urxvtd|blog::dotfiles::last.fm
|
|
|
|
|
elhui2
Forista Medio
Registrado: Jue Abr 10, 2008 11:00 pm Mensajes: 316 Ubicación: D.Fectuoso
|
Publicado: Jue Oct 06, 2011 10:47 am |
|
ramonovski escribió: prefiero las políticas DROP por defecto ... [2] mcun escribió: se ve bien y si no da errores a de funcionar, no obstante yo prefiero las políticas DROP por defecto ... Disculpen mi ignorancia, he googleado eso y no encuentro info concreta, como activo las politicas DROP por defecto??? Gracias por sus coments! saludos. elhui2.
_________________
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Web
Mi nuevo blog
|
|
|
|
|
mcun
Moderador
Registrado: Dom Abr 18, 2010 4:30 pm Mensajes: 2791 Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
|
Publicado: Jue Oct 06, 2011 12:13 pm |
|
|
|
|
elhui2
Forista Medio
Registrado: Jue Abr 10, 2008 11:00 pm Mensajes: 316 Ubicación: D.Fectuoso
|
Publicado: Jue Oct 06, 2011 1:01 pm |
|
mcun escribió: Pues esta en el mismo manual donde tomastesl script es (el del amigo Pello Xabier ) o se le parece mucho . como sea http://www.pello.info/filez/firewall/iptables.htmlSeeeee esta de lujo, primero hare unas pruebas con mi pc de casa no quiero cerrar el acceso al servidor y como es remoto de verdad seria un lio. Gracias por sus respuestas, intento y les cuento como me fue xD Saludos. elhui2.
_________________
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Web
Mi nuevo blog
|
|
|
|
|
mcun
Moderador
Registrado: Dom Abr 18, 2010 4:30 pm Mensajes: 2791 Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
|
Publicado: Jue Oct 06, 2011 1:07 pm |
|
|
|
|
elhui2
Forista Medio
Registrado: Jue Abr 10, 2008 11:00 pm Mensajes: 316 Ubicación: D.Fectuoso
|
Publicado: Jue Oct 06, 2011 3:41 pm |
|
mcun escribió: comentanos pues Jaja noto mucha emocion de tu parte  aqui les tengo como quedo mi script: Código: #Reglas de acceso al servidor
#Solo bloquear algunos pueros.
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
# El puerto 80 de www debe estar abierto por que es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Abro el puerto 8443 que es por donde trabaja el cpanel
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p udp --dport 8443 -j ACCEPT
#Abro el puerto 22 por donde trabaja el ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Cierro el puerto 21 ya que todas las transferencias quiero que sean por sftp y no por ftp
iptables -A INPUT -p tcp --dport 21 -j DROP
# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024 DROP
iptables -A INPUT -p udp --dport 1:1024 DROP
# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -p udp --dport 10000 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
y me funciona de vicio y si le sirve a alguien no se olviden de guardar la config para cuando se reinicie el server esto en CentOS: Código: #service iptables save
para debian e hijas seria algo asi: Código: sudo /etc/init.d/iptables save
Gracias por su ayuda.
_________________
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Web
Mi nuevo blog
|
|
|
|
|
mcun
Moderador
Registrado: Dom Abr 18, 2010 4:30 pm Mensajes: 2791 Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
|
Publicado: Jue Oct 06, 2011 5:18 pm |
|
|
|
|
Kde_Tony
Moderador
Registrado: Mar Jul 19, 2005 11:00 pm Mensajes: 3752 Ubicación: /home/Peru/Lima/La Molina
|
Publicado: Lun Oct 10, 2011 9:23 am |
|
|
prefiero Shorewall o APF ... jijijij ... pero las veo bien, salvo que no trabajes con Mysql (3306).. todo bien, te recomiendo abrir el 443 (SSL)
_________________
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
|
|
|
|
|
|
|
|
