Re: iptables... cosigli per server web
Il 19/12/2014 14:07, MaX ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX apt-get install shorewall Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5499335c.5080...@modula.net
Re: iptables... cosigli per server web
vedo che ti è piaciuto vestacp :)
io mi ci sono trovato benissimo.
a parte i suggerimenti gia dati ti consiglio anche di scaricare le
blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip
conosciuti che fanno solo danno
puoi usare wizcraft, blocklist.de ecc ecc
anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato
e meno icnasinato ad ora di fare regole]
riguard ola regola:
basta avere un file con i vari ip [che scarichi dal sito]
e poi farti uno script tipo
#!/bin/sh
start(){
echo start
BLACKFILE=/root/blacklist_etc/blacklist.txt
DROPRULE=/root/blacklist_etc/blacklistdroprule.txt
BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt;
$DROPRULE
wget $BLOCKLIST_URL -O $BLACKFILE
if [ $? -eq 0 ]
then
for blkip in `cat $BLACKFILE`; do
echo ACCESSO NEGATO A: $blkip
/sbin/iptables -D INPUT -t filter -s $blkip -j DROP
/sbin/iptables -A INPUT -t filter -s $blkip -j DROP
echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE
done
else
echo $BLOCKLIST_URL ERROR
fi
}
stop(){
DROPRULE=/root/blacklist_etc/blacklistdroprule.txt
echo stop
cat $DROPRULE|while read resetrule; do
echo $resetrule
$($resetrule)
done
}
restart(){
stop
sleep 5
start
}
case $1 in
start)
start
;;
stop)
stop
;;
restart)
restart
;;
*)
echo Usage: {start|stop|restart}
exit 1
esac
spero ti sia d'aiuto
ciao
Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto:
coem da soggetto...
il server web da servizio web sulla porta 80, accedo a lui via ssh
(22) e do accesso sftp ai webmaster... che per il momento sono ancora
io :)
sto usando vestcp che usa la porta 8083
stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto
il resto... qualche cosa tipo:
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j
ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j
ACCEPT
iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s
0.0.0.0/0 -j ACCEPT
il server deve poter inviare la posta interna, ma non da servizio mail
agli utenti.
non c' è servizio https
il server mysql è solo per i siti (phpbb) interni... dall'esterno non
si devono poter collegare
che ne pensate? è sufficiente?
ciao,
MaX
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
listmas...@lists.debian.org
Archive:
https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com
--
firegarden.co
SystemSecurity
Re: iptables... cosigli per server web
bellino il lo script per il servizio :D
di metto le regole di cui sopra e ci aggiungo i blacklist.txt
ciao
MaX
Il 22/12/14, Gionni FireGardenfiregarden...@gmail.com ha scritto:
vedo che ti è piaciuto vestacp :)
io mi ci sono trovato benissimo.
a parte i suggerimenti gia dati ti consiglio anche di scaricare le
blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip
conosciuti che fanno solo danno
puoi usare wizcraft, blocklist.de ecc ecc
anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato
e meno icnasinato ad ora di fare regole]
riguard ola regola:
basta avere un file con i vari ip [che scarichi dal sito]
e poi farti uno script tipo
#!/bin/sh
start(){
echo start
BLACKFILE=/root/blacklist_etc/blacklist.txt
DROPRULE=/root/blacklist_etc/blacklistdroprule.txt
BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt;
$DROPRULE
wget $BLOCKLIST_URL -O $BLACKFILE
if [ $? -eq 0 ]
then
for blkip in `cat $BLACKFILE`; do
echo ACCESSO NEGATO A: $blkip
/sbin/iptables -D INPUT -t filter -s $blkip -j DROP
/sbin/iptables -A INPUT -t filter -s $blkip -j DROP
echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE
done
else
echo $BLOCKLIST_URL ERROR
fi
}
stop(){
DROPRULE=/root/blacklist_etc/blacklistdroprule.txt
echo stop
cat $DROPRULE|while read resetrule; do
echo $resetrule
$($resetrule)
done
}
restart(){
stop
sleep 5
start
}
case $1 in
start)
start
;;
stop)
stop
;;
restart)
restart
;;
*)
echo Usage: {start|stop|restart}
exit 1
esac
spero ti sia d'aiuto
ciao
Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto:
coem da soggetto...
il server web da servizio web sulla porta 80, accedo a lui via ssh
(22) e do accesso sftp ai webmaster... che per il momento sono ancora
io :)
sto usando vestcp che usa la porta 8083
stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto
il resto... qualche cosa tipo:
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j
ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j
ACCEPT
iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s
0.0.0.0/0 -j ACCEPT
il server deve poter inviare la posta interna, ma non da servizio mail
agli utenti.
non c' è servizio https
il server mysql è solo per i siti (phpbb) interni... dall'esterno non
si devono poter collegare
che ne pensate? è sufficiente?
ciao,
MaX
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
listmas...@lists.debian.org
Archive:
https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com
--
firegarden.co
SystemSecurity
--
ciao,
MaX
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
https://lists.debian.org/caeyavmtc4b+xcj_kubarbio1b8a058byb5v_avkj4ngk0si...@mail.gmail.com
iptables... cosigli per server web
coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com
Re: iptables... cosigli per server web
On Fri, Dec 19, 2014 at 02:07:57PM +0100, MaX wrote: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 non conosco questo vestcp (che secondo google è vestacp...) quindi non so se hai bisogno di cose strane per questo. stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: decisamente. c'è anche chi consiglia di mettere in ascolto ssh su una porta non standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più, ma è ok, imho. iptables --flush iptables --delete-chain ci sono anche -F e -X al posto di questi comandi lunghissimi :P iptables -P INPUT DROP io sono sempre stato dell'idea che è meglio droppare tutto alla fine. tipo, policy ACCEPT, un po' di regole su cosa accettare, e poi '-A INPUT -j DROP'. mi son salvato in diverse occasioni in cui mi son chiuso fuori per sbaglio, così (invece di dovermi connettere da console) iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT really, '-m state --state NEW -s 0.0.0.0/0' è superfluo. il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare quindi non serve fare altro (dato che su lo accetti tutto), e cose come connettersi a mysql possono avvenire via socket invece che rete. che ne pensate? è sufficiente? sì, direi che è ok. Ti ricordo di installare anche fail2ban, dato che hai ssh sulla 22 (e in ogni caso...) -- regards, Mattia Rizzolo GPG Key: 4096R/B9444540 http://goo.gl/I8TMB more about me: http://mapreri.org Launchpad User: https://launchpad.net/~mapreri Ubuntu Wiki page: https://wiki.ubuntu.com/MattiaRizzolo signature.asc Description: Digital signature
Re: iptables... cosigli per server web
Ciao On Fri, 19 Dec 2014 14:07:57 +0100 MaX maxlinux2...@gmail.com wrote: che ne pensate? è sufficiente? Per i server in DMZ io di solito aggiungo (all'inizio) # Drop malformed packets, invalid fragments, Xmas, NULL packets and check SYN -A INPUT -i eth0 -m conntrack --ctstate INVALID -j DROP -A INPUT -i eth0 -f -j DROP -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # IMCP -A INPUT -i eth0 -p icmp -m length --length 128:65535 -j DROP -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 11 -j ACCEPT ...e in fondo # Default behavior -A INPUT -i eth0 -p tcp -j REJECT --reject-with tcp-reset -A INPUT -i eth0 -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -j REJECT --reject-with icmp-proto-unreachable -A INPUT -m limit --limit 5/min -j LOG --log-prefix [iptables] INPUT Drop: --log-level 7 -- Gabriele Ficarelli - Jon GPG: A5D862D7 pgpnRtVcWEptO.pgp Description: OpenPGP digital signature
