Re: iptables... cosigli per server web
bellino il lo script per il servizio :D
di metto le regole di cui sopra e ci aggiungo i blacklist.txt
ciao
MaX
Il 22/12/14, Gionni FireGarden<firegarden.co@gmail.com> ha scritto:
> vedo che ti è piaciuto vestacp :)
> io mi ci sono trovato benissimo.
>
> a parte i suggerimenti gia dati ti consiglio anche di scaricare le
> blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip
> conosciuti che fanno solo danno
>
> puoi usare wizcraft, blocklist.de ecc ecc
>
> anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato
> e meno icnasinato ad ora di fare regole]
>
> riguard ola regola:
> basta avere un file con i vari ip [che scarichi dal sito]
> e poi farti uno script tipo
>
> #!/bin/sh
> start(){
> echo "start"
> BLACKFILE="/root/blacklist_etc/blacklist.txt"
> DROPRULE="/root/blacklist_etc/blacklistdroprule.txt"
> BLOCKLIST_URL="http://lists.blocklist.de/lists/all.txt";
>> $DROPRULE
> wget $BLOCKLIST_URL -O $BLACKFILE
> if [ $? -eq 0 ]
> then
> for blkip in `cat $BLACKFILE`; do
> echo "ACCESSO NEGATO A: $blkip"
> /sbin/iptables -D INPUT -t filter -s $blkip -j DROP
> /sbin/iptables -A INPUT -t filter -s $blkip -j DROP
> echo "/sbin/iptables -D INPUT -t filter -s $blkip -j DROP" >> $DROPRULE
> done
> else
> echo "$BLOCKLIST_URL ERROR"
> fi
> }
> stop(){
> DROPRULE="/root/blacklist_etc/blacklistdroprule.txt"
> echo "stop"
> cat $DROPRULE|while read resetrule; do
> echo "$resetrule"
> $($resetrule)
> done
> }
> restart(){
> stop
> sleep 5
> start
> }
> case "$1" in
> start)
> start
> ;;
> stop)
> stop
> ;;
> restart)
> restart
> ;;
> *)
> echo "Usage: {start|stop|restart}"
> exit 1
> esac
>
>
>
> spero ti sia d'aiuto
> ciao
>
> Il giorno 19 dicembre 2014 14:07, MaX <maxlinux2000@gmail.com> ha scritto:
>
>> coem da soggetto...
>>
>> il server web da servizio web sulla porta 80, accedo a lui via ssh
>> (22) e do accesso sftp ai webmaster... che per il momento sono ancora
>> io :)
>> sto usando vestcp che usa la porta 8083
>>
>> stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto
>> il resto... qualche cosa tipo:
>>
>> iptables --flush
>> iptables --delete-chain
>> iptables -P INPUT DROP
>> iptables -P FORWARD DROP
>> iptables -P OUTPUT ACCEPT
>> iptables -A INPUT -i lo -j ACCEPT
>> iptables -A OUTPUT -o lo -j ACCEPT
>> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j
>> ACCEPT
>> iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j
>> ACCEPT
>> iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s
>> 0.0.0.0/0 -j ACCEPT
>>
>> il server deve poter inviare la posta interna, ma non da servizio mail
>> agli utenti.
>> non c' è servizio https
>> il server mysql è solo per i siti (phpbb) interni... dall'esterno non
>> si devono poter collegare
>>
>> che ne pensate? è sufficiente?
>>
>> ciao,
>> MaX
>>
>>
>> --
>> Per REVOCARE l'iscrizione alla lista, inviare un email a
>> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
>> problemi inviare un email in INGLESE a listmaster@lists.debian.org
>>
>> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> [🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com">https://lists.debian.org/[🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com
>>
>>
>
>
> --
> firegarden.co
> System&Security
>
--
ciao,
MaX
Reply to: