1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Configuración de APF

Tema en 'Asuntos Técnicos' iniciado por Dan, 31 Jul 2010.

  1. Dan

    Dan Nuevo usuario

    Hola foreros, tengo un servidor dedicado que lo utilizo para pruebas, aprendizaje y también hospedo una web.
    Tiene Centos con Apache, MySql, PHP, proftpd. NO tiene panel de control como Cpanel o similares.
    Los DNS del dominio lo manejo con CDMON

    El servidor no tiene configurado nada de seguridad asi que instalé APF y estoy en su configuración por lo cual quería consultarles a ustedes si estan bien las configuraciones realizadas.

    guiándome con algunos tutoriales donde indican como configurar APF pude ver que la mayoría solo se centraba en los datos que mostraré a continuación, mi duda es si esto es correcto para un buen funcionamiento de mi servidor, algo está mal o falta algún otro dato?

    CODE, HTML o PHP Insertado:
    DEVEL_MODE="1" (aun estoy probando asi que dejaré en 1)
    
    IG_TCP_CPORTS="22,21,25,80"  (por defecto solo traía el 22 asi que agregué el del ftp, smtp y el web)
    IG_UDP_CPORTS=""  ¿aquí no se que puerto colocar?
    EGF="1"  (venía en 0)
    
    (los siguientes están tal cual venian por defecto)
    EG_TCP_CPORTS="21,25,80,443,43"
    EG_UDP_CPORTS="20,21,53"
    
    (los 3 siguientes venian en 0 y los dejé en 1
    DLIST_SPAMHAUS="1"
    DLIST_DSHIELD="1"
    LOG_DROP="1"
    
    el resto de datos del archivo de configuración está tal cual viene por defecto.
    Al correr APF es esto lo que muestra:

    CODE, HTML o PHP Insertado:
    apf(4144): {glob} status log not found, created
    apf(4144): {glob} activating firewall
    apf(4188): {glob} determined (IFACE_IN) eth0 has address ip-del-servidor
    apf(4188): {glob} determined (IFACE_OUT) eth0 has address ip-del-servidor
    apf(4188): {glob} loading preroute.rules
    apf(4188): {resnet} downloading (url)rfxn.com/downloads/reserved.networks
    apf(4188): {resnet} parsing reserved.networks into /etc/apf/internals/reserved.networks
    apf(4188): {glob} loading reserved.networks
    apf(4188): {glob} SET_REFRESH is set to 10 minutes
    apf(4188): {glob} loading bt.rules
    apf(4188): {php} downloading (url)rfxn.com/downloads/php_list
    apf(4188): {php} parsing php_list into /etc/apf/php_hosts.rules
    apf(4188): {php} loading php_hosts.rules
    apf(4188): {dshield} downloading (url)feeds.dshield.org/top10-2.txt
    apf(4188): {dshield} parsing top10-2.txt into /etc/apf/ds_hosts.rules
    apf(4188): {dshield} loading ds_hosts.rules
    apf(4188): {sdrop} downloading (url)spamhaus.org/drop/drop.lasso
    apf(4188): {sdrop} parsing drop.lasso into /etc/apf/sdrop_hosts.rules
    apf(4188): {sdrop} loading sdrop_hosts.rules
    apf(4188): {glob} loading common drop ports
    apf(4188): {blk_ports} deny all to/from tcp port 135:139
    apf(4188): {blk_ports} deny all to/from udp port 135:139
    apf(4188): {blk_ports} deny all to/from tcp port 111
    apf(4188): {blk_ports} deny all to/from udp port 111
    apf(4188): {blk_ports} deny all to/from tcp port 513
    apf(4188): {blk_ports} deny all to/from udp port 513
    apf(4188): {blk_ports} deny all to/from tcp port 520
    apf(4188): {blk_ports} deny all to/from udp port 520
    apf(4188): {blk_ports} deny all to/from tcp port 445
    apf(4188): {blk_ports} deny all to/from udp port 445
    apf(4188): {blk_ports} deny all to/from tcp port 1433
    apf(4188): {blk_ports} deny all to/from udp port 1433
    apf(4188): {blk_ports} deny all to/from tcp port 1434
    apf(4188): {blk_ports} deny all to/from udp port 1434
    apf(4188): {blk_ports} deny all to/from tcp port 1234
    apf(4188): {blk_ports} deny all to/from udp port 1234
    apf(4188): {blk_ports} deny all to/from tcp port 1524
    apf(4188): {blk_ports} deny all to/from udp port 1524
    apf(4188): {blk_ports} deny all to/from tcp port 3127
    apf(4188): {blk_ports} deny all to/from udp port 3127
    apf(4188): {pkt_sanity} set active PKT_SANITY
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL NONE
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs SYN,FIN SYN,FIN
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs SYN,RST SYN,RST
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs FIN,RST FIN,RST
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,FIN FIN
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,URG URG
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,PSH PSH
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN,URG,PSH
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL SYN,RST,ACK,FIN,URG
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL ALL
    apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ALL NONE
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs SYN,FIN SYN,FIN
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs SYN,RST SYN,RST
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs FIN,RST FIN,RST
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,FIN FIN
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,PSH PSH
    apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,URG URG
    apf(4188): {pkt_sanity} deny all fragmented udp
    apf(4188): {pkt_sanity} deny inbound tcp port 0
    apf(4188): {pkt_sanity} deny outbound tcp port 0
    apf(4188): {blk_p2p} set active BLK_P2P
    apf(4188): {blk_p2p} deny all to/from tcp port 1214
    apf(4188): {blk_p2p} deny all to/from udp port 1214
    apf(4188): {blk_p2p} deny all to/from tcp port 2323
    apf(4188): {blk_p2p} deny all to/from udp port 2323
    apf(4188): {blk_p2p} deny all to/from tcp port 4660:4678
    apf(4188): {blk_p2p} deny all to/from udp port 4660:4678
    apf(4188): {blk_p2p} deny all to/from tcp port 6257
    apf(4188): {blk_p2p} deny all to/from udp port 6257
    apf(4188): {blk_p2p} deny all to/from tcp port 6699
    apf(4188): {blk_p2p} deny all to/from udp port 6699
    apf(4188): {blk_p2p} deny all to/from tcp port 6346
    apf(4188): {blk_p2p} deny all to/from udp port 6346
    apf(4188): {blk_p2p} deny all to/from tcp port 6347
    apf(4188): {blk_p2p} deny all to/from udp port 6347
    apf(4188): {blk_p2p} deny all to/from tcp port 6881:6889
    apf(4188): {blk_p2p} deny all to/from udp port 6881:6889
    apf(4188): {blk_p2p} deny all to/from tcp port 6346
    apf(4188): {blk_p2p} deny all to/from udp port 6346
    apf(4188): {blk_p2p} deny all to/from tcp port 7778
    apf(4188): {blk_p2p} deny all to/from udp port 7778
    apf(4188): {glob} loading log.rules
    apf(4188): {glob} virtual net subsystem disabled.
    apf(4188): {glob} loading main.rules
    apf(4188): {glob} opening inbound tcp port 22 on 0/0
    apf(4188): {glob} opening inbound tcp port 21 on 0/0
    apf(4188): {glob} opening inbound tcp port 25 on 0/0
    apf(4188): {glob} opening inbound tcp port 80 on 0/0
    apf(4188): {glob} opening outbound tcp port 21 on 0/0
    apf(4188): {glob} opening outbound tcp port 25 on 0/0
    apf(4188): {glob} opening outbound tcp port 80 on 0/0
    apf(4188): {glob} opening outbound tcp port 443 on 0/0
    apf(4188): {glob} opening outbound tcp port 43 on 0/0
    apf(4188): {glob} opening outbound udp port 20 on 0/0
    apf(4188): {glob} opening outbound udp port 21 on 0/0
    apf(4188): {glob} opening outbound udp port 53 on 0/0
    apf(4188): {glob} opening inbound icmp type 3 on 0/0
    apf(4188): {glob} opening inbound icmp type 5 on 0/0
    apf(4188): {glob} opening inbound icmp type 11 on 0/0
    apf(4188): {glob} opening inbound icmp type 0 on 0/0
    apf(4188): {glob} opening inbound icmp type 30 on 0/0
    apf(4188): {glob} opening inbound icmp type 8 on 0/0
    apf(4188): {glob} opening outbound icmp all on 0/0
    apf(4188): {glob} resolv dns discovery for 209.172.41.202
    apf(4188): {glob} resolv dns discovery for 209.172.41.200
    apf(4188): {glob} loading postroute.rules
    apf(4188): {glob} default (egress) output drop
    apf(4188): {glob} default (ingress) input drop
    apf(4144): {glob} firewall initalized
    apf(4144): {glob} !!DEVELOPMENT MODE ENABLED!! - firewall will flush every 5 minutes.
    con eso es suficiente para tener correctamente configurado el firewall o requiere de algo mas??

    Pasando a otro tema, he visto que hay cientos de intentos por conectarse a mi servidor a traves de ssh, con LASTB pude ver una lista interminable de intentos de entrar desde varias IP y probando con muchos posibles nombres de usuarios.
    Que me recomiendan para bloquear las ip's que intenten concectarse ?
    he leido que hay un modulo de APF que realiza esa tarea, banear una ip tras X intentos fallidos.

    Que me recomiendan ustedes?

    Disculpen si por ahi hablo alguna tontera pero estoy aun en plan de aprendizaje.
     
  2.  
  3. mihosting

    mihosting Usuario activo

    TE copio una lista de puertos y si objetivo. Todo lo que no uses , cierralo

    Puerto entrada Servicio Protocolo
    80 8080 (http) y Tomcat TCP
    443 (https) WWW TCP
    20 (ftp-data) TCP
    21 (ftp) FTP TCP
    25 587 (smtp) TCP
    110 (pop3) CORREO TCP
    143 (imap4) TCP
    53 (dns) DNS TCP UDP
    3306 (mysql) TCP
    1433 (sql) BBDD TCP
    5432 (postgresql TCP
    22 (ssh) TCP
    23 (telnet) TCP
    3389 (terminal server)RDP TCP
    5900 5800 (vnc) TCP
    10000 (webmin) TCP
    81 444 (admin cobalt) TCP
    8443 25112 (cube panel) TCP
    1755 (Windows Media) TCP UDP
    554 (Windows Media) TCP
    5005 (Windows Media) UDP

    Puerto salida Servicio Protocolo
    80 (http) TCP
    443 (https) WWW TCP
    20 (ftp-data) TCP
    21 (ftp) FTP TCP
    25 (smtp) TCP
    110 (pop3)CORREO TCP
    143 (imap4) TCP
    53 (dns) DNS TCP UDP
    3306 (mysql) TCP
    1433 (sql) BBDD TCP
    5432 (postgresql) TCP
    22 (ssh) TCP
    23 (telnet) TCP
    123 (NTP) UDP
    587 (SMTP) TCP


    En cuanto al puerto 22, por su importancia te sugiero que lo cambies a culaquier otro que no este en uso. Primero en la configuracion y luego en el firewall. Y cierres el 22. Asi haras un poquito mas segura tu maquina.

    Sobre apf no te puedo ayudar mucho , hace años que lo cambie por csf
     
    Última edición: 31 Jul 2010
  4. tobaria

    tobaria Usuario activo

    Tal y como dice mihosting , mejor prueba CSF.
     
  5. Dan

    Dan Nuevo usuario

    hola, gracias por sus respuestas.

    He leido varios tutoriales y otros post de este foro, también el link mandado por f.villalva.

    Al parecer el firewall parece funcionar pero mi duda va mas por el tema de los puertos ya que todos los tutoriales hablan de los puertos para el CPanel y para Plesk pero como yo no uso ninguno de los dos solo me guio por los puertos que conosco que son comunes (21, 22, 80, etc)

    El listado de puertos que aportó el usuario "mihosting" me sirve. Habia olvidado colocar el puerto de mysql.

    Quiero tener cerrado todos los que no ocupo.

    etengo unas dudas:

    el puerto 53 es del dns, pero si manejo los dns en un servidor externo (cdmon) puedo cerrar este puerto entonces o igual se requiere aun que tenga un servidor dns en otra parte??

    los emils los manejo con la configuracion de google app asi que no pasan por el servidor pero el servidor de vez en cuando puede requerir mandar algun email desde algun script php o cosas asi, entonces, tendría que dejar entonces abierto el puerto 25 supongo.

    el puerto 22 del ssh lo cerrare por que modifique el puerto para usar otro.

    entonces, segun todo lo comentado en este y el primer post de este hilo, los unicos puertos que necesito dejar abierto serian los siguientes?

    puertos de entrada TCP
    80 (http)
    20 (ftp)
    21 (ftp)
    25 (smtp)
    3306 (mysql)
    1600 (ssh configurado)

    puertos de salida TCP
    80 (http)
    20 (ftp)
    21 (ftp)
    25 (smtp)
    3306 (mysql)

    quedaría asi:

    CODE, HTML o PHP Insertado:
    IG_TCP_CPORTS="20,21,25,80,3306,1600"
    IG_UDP_CPORTS=""  ¿¿??
    EGF="1"
    
    EG_TCP_CPORTS="20,21,25,80,3306"
    EG_UDP_CPORTS=""
    es esto correcto??
     
  6. mihosting

    mihosting Usuario activo

    el 53 quizas no lo necesites como puerto de entrada , siempre que no tengas un servicio de dns en tu servidor. Pero si lo necesitaras de salida. para que tu servidor pueda encontrar otras webs.


    Aparentemente todo parece bien . Si necesitas abrir algun puerto adicional, lo notaras rapidamente. Ya que el servicio que sea, no funcionara.
     
  7. Dan

    Dan Nuevo usuario

    ok mihosting, muchas gracias por tu ayuda.
     
  8. Si vas a usar el servicio pop te falta abrir el puerto 110 y para imap el puerto 143. Y el smtp seguramente lo hayas de cambiar por el puerto 26. Ya que algunos isp banean el puerto 25 para evitar el spam.

    TCP puertos de entrada

    UDP puertos de salida

    Saludos
     
    Última edición por un moderador: 1 Ago 2010
  9. Aprendo más del modelo osi en internet que en clases de redes. xD

    Saludos,
     
  10. mihosting

    mihosting Usuario activo


    Que quieres decir con esto?
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·