Configuración de APF

Hola foreros, tengo un servidor dedicado que lo utilizo para pruebas, aprendizaje y también hospedo una web.
Tiene Centos con Apache, MySql, PHP, proftpd. NO tiene panel de control como Cpanel o similares.
Los DNS del dominio lo manejo con CDMON

El servidor no tiene configurado nada de seguridad asi que instalé APF y estoy en su configuración por lo cual quería consultarles a ustedes si estan bien las configuraciones realizadas.

guiándome con algunos tutoriales donde indican como configurar APF pude ver que la mayoría solo se centraba en los datos que mostraré a continuación, mi duda es si esto es correcto para un buen funcionamiento de mi servidor, algo está mal o falta algún otro dato?

CODE, HTML o PHP Insertado:

DEVEL_MODE="1" (aun estoy probando asi que dejaré en 1)

IG_TCP_CPORTS="22,21,25,80"  (por defecto solo traía el 22 asi que agregué el del ftp, smtp y el web)
IG_UDP_CPORTS=""  ¿aquí no se que puerto colocar?
EGF="1"  (venía en 0)

(los siguientes están tal cual venian por defecto)
EG_TCP_CPORTS="21,25,80,443,43"
EG_UDP_CPORTS="20,21,53"

(los 3 siguientes venian en 0 y los dejé en 1
DLIST_SPAMHAUS="1"
DLIST_DSHIELD="1"
LOG_DROP="1"

el resto de datos del archivo de configuración está tal cual viene por defecto.
Al correr APF es esto lo que muestra:

CODE, HTML o PHP Insertado:

apf(4144): {glob} status log not found, created
apf(4144): {glob} activating firewall
apf(4188): {glob} determined (IFACE_IN) eth0 has address ip-del-servidor
apf(4188): {glob} determined (IFACE_OUT) eth0 has address ip-del-servidor
apf(4188): {glob} loading preroute.rules
apf(4188): {resnet} downloading (url)rfxn.com/downloads/reserved.networks
apf(4188): {resnet} parsing reserved.networks into /etc/apf/internals/reserved.networks
apf(4188): {glob} loading reserved.networks
apf(4188): {glob} SET_REFRESH is set to 10 minutes
apf(4188): {glob} loading bt.rules
apf(4188): {php} downloading (url)rfxn.com/downloads/php_list
apf(4188): {php} parsing php_list into /etc/apf/php_hosts.rules
apf(4188): {php} loading php_hosts.rules
apf(4188): {dshield} downloading (url)feeds.dshield.org/top10-2.txt
apf(4188): {dshield} parsing top10-2.txt into /etc/apf/ds_hosts.rules
apf(4188): {dshield} loading ds_hosts.rules
apf(4188): {sdrop} downloading (url)spamhaus.org/drop/drop.lasso
apf(4188): {sdrop} parsing drop.lasso into /etc/apf/sdrop_hosts.rules
apf(4188): {sdrop} loading sdrop_hosts.rules
apf(4188): {glob} loading common drop ports
apf(4188): {blk_ports} deny all to/from tcp port 135:139
apf(4188): {blk_ports} deny all to/from udp port 135:139
apf(4188): {blk_ports} deny all to/from tcp port 111
apf(4188): {blk_ports} deny all to/from udp port 111
apf(4188): {blk_ports} deny all to/from tcp port 513
apf(4188): {blk_ports} deny all to/from udp port 513
apf(4188): {blk_ports} deny all to/from tcp port 520
apf(4188): {blk_ports} deny all to/from udp port 520
apf(4188): {blk_ports} deny all to/from tcp port 445
apf(4188): {blk_ports} deny all to/from udp port 445
apf(4188): {blk_ports} deny all to/from tcp port 1433
apf(4188): {blk_ports} deny all to/from udp port 1433
apf(4188): {blk_ports} deny all to/from tcp port 1434
apf(4188): {blk_ports} deny all to/from udp port 1434
apf(4188): {blk_ports} deny all to/from tcp port 1234
apf(4188): {blk_ports} deny all to/from udp port 1234
apf(4188): {blk_ports} deny all to/from tcp port 1524
apf(4188): {blk_ports} deny all to/from udp port 1524
apf(4188): {blk_ports} deny all to/from tcp port 3127
apf(4188): {blk_ports} deny all to/from udp port 3127
apf(4188): {pkt_sanity} set active PKT_SANITY
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL NONE
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs SYN,FIN SYN,FIN
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs SYN,RST SYN,RST
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs FIN,RST FIN,RST
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,FIN FIN
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,URG URG
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ACK,PSH PSH
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN,URG,PSH
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL SYN,RST,ACK,FIN,URG
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL ALL
apf(4188): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ALL NONE
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs SYN,FIN SYN,FIN
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs SYN,RST SYN,RST
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs FIN,RST FIN,RST
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,FIN FIN
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,PSH PSH
apf(4188): {pkt_sanity} deny outbound tcp-flag pairs ACK,URG URG
apf(4188): {pkt_sanity} deny all fragmented udp
apf(4188): {pkt_sanity} deny inbound tcp port 0
apf(4188): {pkt_sanity} deny outbound tcp port 0
apf(4188): {blk_p2p} set active BLK_P2P
apf(4188): {blk_p2p} deny all to/from tcp port 1214
apf(4188): {blk_p2p} deny all to/from udp port 1214
apf(4188): {blk_p2p} deny all to/from tcp port 2323
apf(4188): {blk_p2p} deny all to/from udp port 2323
apf(4188): {blk_p2p} deny all to/from tcp port 4660:4678
apf(4188): {blk_p2p} deny all to/from udp port 4660:4678
apf(4188): {blk_p2p} deny all to/from tcp port 6257
apf(4188): {blk_p2p} deny all to/from udp port 6257
apf(4188): {blk_p2p} deny all to/from tcp port 6699
apf(4188): {blk_p2p} deny all to/from udp port 6699
apf(4188): {blk_p2p} deny all to/from tcp port 6346
apf(4188): {blk_p2p} deny all to/from udp port 6346
apf(4188): {blk_p2p} deny all to/from tcp port 6347
apf(4188): {blk_p2p} deny all to/from udp port 6347
apf(4188): {blk_p2p} deny all to/from tcp port 6881:6889
apf(4188): {blk_p2p} deny all to/from udp port 6881:6889
apf(4188): {blk_p2p} deny all to/from tcp port 6346
apf(4188): {blk_p2p} deny all to/from udp port 6346
apf(4188): {blk_p2p} deny all to/from tcp port 7778
apf(4188): {blk_p2p} deny all to/from udp port 7778
apf(4188): {glob} loading log.rules
apf(4188): {glob} virtual net subsystem disabled.
apf(4188): {glob} loading main.rules
apf(4188): {glob} opening inbound tcp port 22 on 0/0
apf(4188): {glob} opening inbound tcp port 21 on 0/0
apf(4188): {glob} opening inbound tcp port 25 on 0/0
apf(4188): {glob} opening inbound tcp port 80 on 0/0
apf(4188): {glob} opening outbound tcp port 21 on 0/0
apf(4188): {glob} opening outbound tcp port 25 on 0/0
apf(4188): {glob} opening outbound tcp port 80 on 0/0
apf(4188): {glob} opening outbound tcp port 443 on 0/0
apf(4188): {glob} opening outbound tcp port 43 on 0/0
apf(4188): {glob} opening outbound udp port 20 on 0/0
apf(4188): {glob} opening outbound udp port 21 on 0/0
apf(4188): {glob} opening outbound udp port 53 on 0/0
apf(4188): {glob} opening inbound icmp type 3 on 0/0
apf(4188): {glob} opening inbound icmp type 5 on 0/0
apf(4188): {glob} opening inbound icmp type 11 on 0/0
apf(4188): {glob} opening inbound icmp type 0 on 0/0
apf(4188): {glob} opening inbound icmp type 30 on 0/0
apf(4188): {glob} opening inbound icmp type 8 on 0/0
apf(4188): {glob} opening outbound icmp all on 0/0
apf(4188): {glob} resolv dns discovery for 209.172.41.202
apf(4188): {glob} resolv dns discovery for 209.172.41.200
apf(4188): {glob} loading postroute.rules
apf(4188): {glob} default (egress) output drop
apf(4188): {glob} default (ingress) input drop
apf(4144): {glob} firewall initalized
apf(4144): {glob} !!DEVELOPMENT MODE ENABLED!! - firewall will flush every 5 minutes.

con eso es suficiente para tener correctamente configurado el firewall o requiere de algo mas??

Pasando a otro tema, he visto que hay cientos de intentos por conectarse a mi servidor a traves de ssh, con LASTB pude ver una lista interminable de intentos de entrar desde varias IP y probando con muchos posibles nombres de usuarios.
Que me recomiendan para bloquear las ip's que intenten concectarse ?
he leido que hay un modulo de APF que realiza esa tarea, banear una ip tras X intentos fallidos.

Que me recomiendan ustedes?

Disculpen si por ahi hablo alguna tontera pero estoy aun en plan de aprendizaje.

 

TE copio una lista de puertos y si objetivo. Todo lo que no uses , cierralo

Puerto entrada Servicio Protocolo
80 8080 (http) y Tomcat TCP
443 (https) WWW TCP
20 (ftp-data) TCP
21 (ftp) FTP TCP
25 587 (smtp) TCP
110 (pop3) CORREO TCP
143 (imap4) TCP
53 (dns) DNS TCP UDP
3306 (mysql) TCP
1433 (sql) BBDD TCP
5432 (postgresql TCP
22 (ssh) TCP
23 (telnet) TCP
3389 (terminal server)RDP TCP
5900 5800 (vnc) TCP
10000 (webmin) TCP
81 444 (admin cobalt) TCP
8443 25112 (cube panel) TCP
1755 (Windows Media) TCP UDP
554 (Windows Media) TCP
5005 (Windows Media) UDP

Puerto salida Servicio Protocolo
80 (http) TCP
443 (https) WWW TCP
20 (ftp-data) TCP
21 (ftp) FTP TCP
25 (smtp) TCP
110 (pop3)CORREO TCP
143 (imap4) TCP
53 (dns) DNS TCP UDP
3306 (mysql) TCP
1433 (sql) BBDD TCP
5432 (postgresql) TCP
22 (ssh) TCP
23 (telnet) TCP
123 (NTP) UDP
587 (SMTP) TCP


En cuanto al puerto 22, por su importancia te sugiero que lo cambies a culaquier otro que no este en uso. Primero en la configuracion y luego en el firewall. Y cierres el 22. Asi haras un poquito mas segura tu maquina.

Sobre apf no te puedo ayudar mucho , hace años que lo cambie por csf

 

Tal y como dice mihosting , mejor prueba CSF.

 

Aquí hay una guía de como instalarlo:

http://www.webhostgear.com/61.html

Saludos,

 

hola, gracias por sus respuestas.

He leido varios tutoriales y otros post de este foro, también el link mandado por f.villalva.

Al parecer el firewall parece funcionar pero mi duda va mas por el tema de los puertos ya que todos los tutoriales hablan de los puertos para el CPanel y para Plesk pero como yo no uso ninguno de los dos solo me guio por los puertos que conosco que son comunes (21, 22, 80, etc)

El listado de puertos que aportó el usuario "mihosting" me sirve. Habia olvidado colocar el puerto de mysql.

Quiero tener cerrado todos los que no ocupo.

etengo unas dudas:

el puerto 53 es del dns, pero si manejo los dns en un servidor externo (cdmon) puedo cerrar este puerto entonces o igual se requiere aun que tenga un servidor dns en otra parte??

los emils los manejo con la configuracion de google app asi que no pasan por el servidor pero el servidor de vez en cuando puede requerir mandar algun email desde algun script php o cosas asi, entonces, tendría que dejar entonces abierto el puerto 25 supongo.

el puerto 22 del ssh lo cerrare por que modifique el puerto para usar otro.

entonces, segun todo lo comentado en este y el primer post de este hilo, los unicos puertos que necesito dejar abierto serian los siguientes?

puertos de entrada TCP
80 (http)
20 (ftp)
21 (ftp)
25 (smtp)
3306 (mysql)
1600 (ssh configurado)

puertos de salida TCP
80 (http)
20 (ftp)
21 (ftp)
25 (smtp)
3306 (mysql)

quedaría asi:

CODE, HTML o PHP Insertado:

IG_TCP_CPORTS="20,21,25,80,3306,1600"
IG_UDP_CPORTS=""  ¿¿??
EGF="1"

EG_TCP_CPORTS="20,21,25,80,3306"
EG_UDP_CPORTS=""

es esto correcto??

 

el 53 quizas no lo necesites como puerto de entrada , siempre que no tengas un servicio de dns en tu servidor. Pero si lo necesitaras de salida. para que tu servidor pueda encontrar otras webs.


Aparentemente todo parece bien . Si necesitas abrir algun puerto adicional, lo notaras rapidamente. Ya que el servicio que sea, no funcionara.

 

ok mihosting, muchas gracias por tu ayuda.

 

Si vas a usar el servicio pop te falta abrir el puerto 110 y para imap el puerto 143. Y el smtp seguramente lo hayas de cambiar por el puerto 26. Ya que algunos isp banean el puerto 25 para evitar el spam.

TCP puertos de entrada

UDP puertos de salida

Saludos

 

Aprendo más del modelo osi en internet que en clases de redes. xD

Saludos,

 

Que quieres decir con esto?