Re: iptables... cosigli per server web

[Gionni FireGarden <firegarden.co@gmail.com>]

vedo che ti è piaciuto vestacp :)

io mi ci sono trovato benissimo.

a parte i suggerimenti gia dati ti consiglio anche di scaricare le blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip conosciuti che fanno solo danno

puoi usare wizcraft, blocklist.de ecc ecc

anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato e meno icnasinato ad ora di fare regole]

riguard ola regola:

basta avere un file con i vari ip [che scarichi dal sito]

e poi farti uno script tipo

#!/bin/sh

start(){

echo "start"

BLACKFILE="/root/blacklist_etc/blacklist.txt"

DROPRULE="/root/blacklist_etc/blacklistdroprule.txt"

BLOCKLIST_URL="http://lists.blocklist.de/lists/all.txt"

> $DROPRULE

wget $BLOCKLIST_URL -O $BLACKFILE

if [ $? -eq 0 ]

  then

  for blkip in `cat $BLACKFILE`; do

    echo "ACCESSO NEGATO A: $blkip"

    /sbin/iptables -D INPUT -t filter -s $blkip -j DROP

    /sbin/iptables -A INPUT -t filter -s $blkip -j DROP

    echo "/sbin/iptables -D INPUT -t filter -s $blkip -j DROP" >> $DROPRULE

  done

  else

  echo "$BLOCKLIST_URL ERROR"

fi

}

stop(){

DROPRULE="/root/blacklist_etc/blacklistdroprule.txt"

echo "stop"

cat $DROPRULE|while read resetrule; do

echo "$resetrule"

$($resetrule)

done

}

restart(){

stop

sleep 5

start

}

case "$1" in

start)

start

;;

stop)

stop

;;

restart)

restart

;;

*)

echo "Usage: {start|stop|restart}"

exit 1

esac

spero ti sia d'aiuto

ciao

Il giorno 19 dicembre 2014 14:07, MaX <maxlinux2000@gmail.com> ha scritto:

coem da soggetto...

il server web da servizio web sulla porta 80, accedo a lui via ssh
(22) e do accesso sftp ai webmaster... che per il momento sono ancora
io :)
sto usando vestcp che usa la porta 8083

stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto
il resto... qualche cosa tipo:

iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s
0.0.0.0/0 -j ACCEPT

il server deve poter inviare la posta interna, ma non da servizio mail
agli utenti.
non c' è servizio https
il server mysql è solo per i siti (phpbb) interni... dall'esterno non
si devono poter collegare

che ne pensate?  è sufficiente?

ciao,
MaX


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmaster@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com" target="_blank">https://lists.debian.org/[🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com

--

firegarden.co 

System&Security