Re: iptables... cosigli per server web

To: MaX <maxlinux2000@gmail.com>
Cc: debian-italian@lists.debian.org
Subject: Re: iptables... cosigli per server web
From: Mattia Rizzolo <mattia@mapreri.org>
Date: Fri, 19 Dec 2014 14:25:46 +0100
Message-id: <[🔎] 20141219132546.GA1660@mapreri.org>
In-reply-to: <[🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com>
References: <[🔎] CAEyAVmtcX7yX8WgE-6O4J_U6kZrWb16sgYSg96-JwYxRJA18zA@mail.gmail.com>

On Fri, Dec 19, 2014 at 02:07:57PM +0100, MaX wrote:
> coem da soggetto...
> 
> il server web da servizio web sulla porta 80, accedo a lui via ssh
> (22) e do accesso sftp ai webmaster... che per il momento sono ancora
> io :)
> sto usando vestcp che usa la porta 8083

non conosco questo vestcp (che secondo google è vestacp...) quindi non so se hai
bisogno di cose strane per questo.

> stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto
> il resto... qualche cosa tipo:

decisamente. c'è anche chi consiglia di mettere in ascolto ssh su una porta non
standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più,
ma è ok, imho.

> iptables --flush
> iptables --delete-chain

ci sono anche -F e -X al posto di questi comandi lunghissimi :P

> iptables -P INPUT DROP

io sono sempre stato dell'idea che è meglio droppare tutto alla fine. tipo,
policy ACCEPT, un po' di regole su cosa accettare, e poi '-A INPUT -j DROP'. mi
son salvato in diverse occasioni in cui mi son chiuso fuori per sbaglio, così
(invece di dovermi connettere da console)

> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
> iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
> iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

really, '-m state --state NEW -s 0.0.0.0/0' è superfluo.

> il server deve poter inviare la posta interna, ma non da servizio mail
> agli utenti.
> non c' è servizio https
> il server mysql è solo per i siti (phpbb) interni... dall'esterno non
> si devono poter collegare

quindi non serve fare altro (dato che su lo accetti tutto), e cose come
connettersi a mysql possono avvenire via socket invece che rete.

> che ne pensate?  è sufficiente?

sì, direi che è ok.
Ti ricordo di installare anche fail2ban, dato che hai ssh sulla 22 (e in ogni
caso...)

-- 
regards,
						Mattia Rizzolo

GPG Key: 4096R/B9444540	http://goo.gl/I8TMB
more about me:		http://mapreri.org
Launchpad User:		https://launchpad.net/~mapreri
Ubuntu Wiki page:	https://wiki.ubuntu.com/MattiaRizzolo

Attachment: signature.asc
Description: Digital signature

Reply to:

References:
- iptables... cosigli per server web
  - From: MaX <maxlinux2000@gmail.com>

Prev by Date: Re: NIC... cerco registar tipo joker, ma per i domini .it
Next by Date: Re: iptables... cosigli per server web
Previous by thread: iptables... cosigli per server web
Next by thread: Re: iptables... cosigli per server web
Index(es):
- Date
- Thread