Re: iptables... cosigli per server web
Il 19/12/2014 14:07, MaX ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX apt-get install shorewall Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5499335c.5080...@modula.net
Re: iptables... cosigli per server web
vedo che ti è piaciuto vestacp :) io mi ci sono trovato benissimo. a parte i suggerimenti gia dati ti consiglio anche di scaricare le blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip conosciuti che fanno solo danno puoi usare wizcraft, blocklist.de ecc ecc anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato e meno icnasinato ad ora di fare regole] riguard ola regola: basta avere un file con i vari ip [che scarichi dal sito] e poi farti uno script tipo #!/bin/sh start(){ echo start BLACKFILE=/root/blacklist_etc/blacklist.txt DROPRULE=/root/blacklist_etc/blacklistdroprule.txt BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt; $DROPRULE wget $BLOCKLIST_URL -O $BLACKFILE if [ $? -eq 0 ] then for blkip in `cat $BLACKFILE`; do echo ACCESSO NEGATO A: $blkip /sbin/iptables -D INPUT -t filter -s $blkip -j DROP /sbin/iptables -A INPUT -t filter -s $blkip -j DROP echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE done else echo $BLOCKLIST_URL ERROR fi } stop(){ DROPRULE=/root/blacklist_etc/blacklistdroprule.txt echo stop cat $DROPRULE|while read resetrule; do echo $resetrule $($resetrule) done } restart(){ stop sleep 5 start } case $1 in start) start ;; stop) stop ;; restart) restart ;; *) echo Usage: {start|stop|restart} exit 1 esac spero ti sia d'aiuto ciao Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com -- firegarden.co SystemSecurity
Re: iptables... cosigli per server web
bellino il lo script per il servizio :D di metto le regole di cui sopra e ci aggiungo i blacklist.txt ciao MaX Il 22/12/14, Gionni FireGardenfiregarden...@gmail.com ha scritto: vedo che ti è piaciuto vestacp :) io mi ci sono trovato benissimo. a parte i suggerimenti gia dati ti consiglio anche di scaricare le blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip conosciuti che fanno solo danno puoi usare wizcraft, blocklist.de ecc ecc anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato e meno icnasinato ad ora di fare regole] riguard ola regola: basta avere un file con i vari ip [che scarichi dal sito] e poi farti uno script tipo #!/bin/sh start(){ echo start BLACKFILE=/root/blacklist_etc/blacklist.txt DROPRULE=/root/blacklist_etc/blacklistdroprule.txt BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt; $DROPRULE wget $BLOCKLIST_URL -O $BLACKFILE if [ $? -eq 0 ] then for blkip in `cat $BLACKFILE`; do echo ACCESSO NEGATO A: $blkip /sbin/iptables -D INPUT -t filter -s $blkip -j DROP /sbin/iptables -A INPUT -t filter -s $blkip -j DROP echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE done else echo $BLOCKLIST_URL ERROR fi } stop(){ DROPRULE=/root/blacklist_etc/blacklistdroprule.txt echo stop cat $DROPRULE|while read resetrule; do echo $resetrule $($resetrule) done } restart(){ stop sleep 5 start } case $1 in start) start ;; stop) stop ;; restart) restart ;; *) echo Usage: {start|stop|restart} exit 1 esac spero ti sia d'aiuto ciao Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com -- firegarden.co SystemSecurity -- ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtc4b+xcj_kubarbio1b8a058byb5v_avkj4ngk0si...@mail.gmail.com
iptables... cosigli per server web
coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com
Re: iptables... cosigli per server web
On Fri, Dec 19, 2014 at 02:07:57PM +0100, MaX wrote: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 non conosco questo vestcp (che secondo google è vestacp...) quindi non so se hai bisogno di cose strane per questo. stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: decisamente. c'è anche chi consiglia di mettere in ascolto ssh su una porta non standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più, ma è ok, imho. iptables --flush iptables --delete-chain ci sono anche -F e -X al posto di questi comandi lunghissimi :P iptables -P INPUT DROP io sono sempre stato dell'idea che è meglio droppare tutto alla fine. tipo, policy ACCEPT, un po' di regole su cosa accettare, e poi '-A INPUT -j DROP'. mi son salvato in diverse occasioni in cui mi son chiuso fuori per sbaglio, così (invece di dovermi connettere da console) iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT really, '-m state --state NEW -s 0.0.0.0/0' è superfluo. il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare quindi non serve fare altro (dato che su lo accetti tutto), e cose come connettersi a mysql possono avvenire via socket invece che rete. che ne pensate? è sufficiente? sì, direi che è ok. Ti ricordo di installare anche fail2ban, dato che hai ssh sulla 22 (e in ogni caso...) -- regards, Mattia Rizzolo GPG Key: 4096R/B9444540 http://goo.gl/I8TMB more about me: http://mapreri.org Launchpad User: https://launchpad.net/~mapreri Ubuntu Wiki page: https://wiki.ubuntu.com/MattiaRizzolo signature.asc Description: Digital signature
Re: iptables... cosigli per server web
Ciao On Fri, 19 Dec 2014 14:07:57 +0100 MaX maxlinux2...@gmail.com wrote: che ne pensate? è sufficiente? Per i server in DMZ io di solito aggiungo (all'inizio) # Drop malformed packets, invalid fragments, Xmas, NULL packets and check SYN -A INPUT -i eth0 -m conntrack --ctstate INVALID -j DROP -A INPUT -i eth0 -f -j DROP -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # IMCP -A INPUT -i eth0 -p icmp -m length --length 128:65535 -j DROP -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 11 -j ACCEPT ...e in fondo # Default behavior -A INPUT -i eth0 -p tcp -j REJECT --reject-with tcp-reset -A INPUT -i eth0 -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -j REJECT --reject-with icmp-proto-unreachable -A INPUT -m limit --limit 5/min -j LOG --log-prefix [iptables] INPUT Drop: --log-level 7 -- Gabriele Ficarelli - Jon GPG: A5D862D7 pgpnRtVcWEptO.pgp Description: OpenPGP digital signature