Hola, quiero explicaros aqui los pasos necesarios para instalar un FireWall en el servidor. Actualmente yo lo tengo en Redhat 7.2 y con Cpanel.

Nos ponemos como ROOT y descargamos el FireWall:

wget http://www.rfxnetworks.com/downloads/apf-c...-current.tar.gz

Lo Descomprimimos:

tar -xz -f apf*

Y entramos dentro del directorio:

cd apf*

Ejecutamos el fichero de Instalación:

sh install.sh ó ./install

Una vez hayamos instalado tenemos que hacer unas modificaciones en el fichero instalado conf.apf:

pico -w /etc/apf/conf.apf

Revisamos que tengamos puesto:

DROP_LOG en 1
LRATE en 60

Buscamos Common Ingress Ports

y en Common ingress (inbound) TCP ports tendremos esto:

IG_TCP_CPORTS="22"

ponemos: "21,22,25,53,80,443,110,143,2082,2086,2095,3306"

esos son los puertos que abrimos. SI usamos las estadísticas Urchin deberemos añadir el 9999 por ejemplo y asi sucesivamente si usamos otros puertos importantes. Los que os pongo ahi son los normales a tener abiertos.

Y 53 como UDP port

Buscamos [DShield] (Para hacer busqueda en Pico podemos presionar Ctrl+W ) y configuramos así:

En USE_DS="0" lo cambiamos por USE_DS="1"
En USE_AD="0" lo cambiamos por USE_AD="1"

Guardamos los Cambios y Salimos

----------------------------------------------------------------------------------
El siguiente paso no es necesario en las ultimas versiones de APF ya que en las ultimas versiones no tenemos el archivo icmp.rules (a partir de la version 0.9.3 no es necesario porque lo trae dentro del conf.apf)

Ahora vamos a:

cd /etc/apf

y editamos:

pico -w icmp.rules

Buscamos esta línea:

#$IPT -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT

( esta por la zona inferior, con Ctrl+W lo encuentras rápido )

Eliminamos la almohadilla que lo comenta (la # ) y así hacemos que el servidor sera pingable ( que se le pueda hacer ping )

Guardamos el Fichero.

---------------------------------------------------------------------------------

y Levantamos el Firewall:

service apf start

Ya tenemos nuestro FireWall levantado y protegiendo los puertos.

Ahora desactivamos el FireWall del Cron:

pico -w /etc/apf/conf.apf

Buscamos donde pone: DEVM="1" y lo cambiamos por un DEVM="0"

Guardamos el Fichero y Reinciamos el FireWall

service apf restart

Ya tenemos nuestro FireWall perfetamente levantado y configurado.

Quiero agradecer a SG-Robert y a DigitalT la confección de este HOW-TO y os invito a que entreis en el canal #e-security de la red irc.ev1.net. Desde cualquier programa IRC podeis poner /server irc.ev1.net y despues /join #e-security y accedereis.

Esta compuesto exclusivamente por gente de habla inglesa, pero chapurreando se aprende mucho, se tratan muchos temas de seguridad, consejos, etc. Voy a traducir varios documentos que estamos tratando todos los dias e ire añadiendolos al HowTo en la media de mi tiempo libre.

**** AÑADIDO 31/05/2004 **************************

Gracias a Jaume vamos a controlar un poco mejor el FireWall ya que en esta configuración solo hacemos referencia a lo que intenta acceder pero no tenemos controlado lo que intenta salir, por ejemplo para evitar ataques a puertos de otras máquinas.

Lo primero has de habilitar el Egress Filtering .. que por defecto en APF viene desactivado .. para que te filtre los puertos salientes.

En pico -w /etc/apf/conf.apf

Buscamos:

# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"

Por defecto trae un 0, ponemos 1 para activarlo.

Despues en los TCP y UDP, dale solo permiso a tu server para que acceda a los puertos de otras máquinas:

Ejemplos: si te sueles conectar por ssh desde tu server a otro server, abre el 22, si te bajas archivos directo a tu server con wget/curl/lynx/ft/etc ... abre puertos 20,21,80,443 .. para que tu server pueda a cceder a esos puertos en otras máquinas.

Buscando en configuraciones recomendadas en el foro ingles y con el consejo de Jaume he configurado:

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="20,21,22,25,53,80,443,2089"

#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="53"

Para saber que hace cada puerto y si ponerlo o no aqui teneis este enlace: http://forums.cpanel.net/showthread.php?s=...&threadid=13834

Una vez modificado y para asegurarnos de que todo esta bien buscamos donde pone: DEVM="0" y lo cambiamos por un DEVM="1"

De esta manera si algo no esta bien, pasados 15 minutos podremos volver a acceder y editarlo.

y:

service apf restart

Si todo esta OK volvemos a Editar y cambiamos el DEVM por 1 y otra vez:

service apf restart

Un Saludo

Fantastico .., increible

Funciona OK OK OK

Muchas gracias por este How-To Urbenalia

Buen how to Urbenalia.

solo me gustaria aclarar que antede de hacer

Ahora desactivamos el FireWall del Cron:

pico -w /etc/apf/conf.apf

Buscamos donde pone: DEVM="1" y lo cambiamos por un DEVM="0"

Debemos de verificar que todo este funcionando a la maravilla, ya que al hacer lo que dices arriba, quitamos la proteccion de que a los 15 minutos se apague el firewall. Si hacemos lo de arriba y no funciona bien el firewall, o hemos cerrado puertos de mas, corremos el riesgo de quedarnos fuera de la maquina.

saludos.

Si el servidor tiene instalado ensim debes de abrir el puerto 19638

¡Excelente!
Funcionó redondo.
Muchas gracias,
Raulito

Como comprobar que funciona correctamente ?

iptables -L -n

eso te sacará un listado del estado del firewall, de todas las reglas que tienes puestas.

Hola,
Para comprobar escribí "iptables -L -n" y me arrojó este resultado, ello es bueno o malo?


Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server root]#

Todo esta exelente para poner un firewall, PERO....

Siempre tenemos que estar preparados para no dejar a nuestro servidor fuera de linea... y un firewall mal configurado podria dejar a nuestro servidor fuera de servicio hasta que alguien llegue y entre fisicamente a la maquina.. esto podria llevar tiempo...

Recomiendo siempre poner un crontab de root, que resete los iptables cada 15 minutos. de esta manera podremos entrar a los 15 minutos y arreglar el problema hasta que este perfectamente configurado.

Recomiendo haver un archivito que diga algo parecido a esto:


hagan un su -
vayan al directorio que mas les guste, yo me quede en /root

vi limpiador (o usen el pico si les gusta mas)

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

llamenlo como quiera, flush, limpiador, etc

denle permisos de ejecucion
chmod 700 limpiador

despues entren a el crontab
crontab -e
y agregen algo parecido a esto

1 * * * * /root/limpiador
15 * * * * /root/limpiador
30 * * * * /root/limpiador
45 * * * * /root/limpiador

opriman ctrl-x

y listo tienen un salvavidas de 15minutos.... cuando todo funcione bien, solo entren de nuevo al crontab y borren esas 4 lineas.

crontab -e

Saludos!

hola, tengo un problema. lo configure tal cual dijiste vos, y me dice esto cuando lo quiero iniciar:

/etc/apf/vnet/vnetgen: line 1: ip: command not found
Unable to load iptables module (ip_tables), aborting.

que podra ser? gracias

hola, tengo un problema. lo configure tal cual dijiste vos, y me dice esto cuando lo quiero iniciar:

/etc/apf/vnet/vnetgen: line 1: ip: command not found
Unable to load iptables module (ip_tables), aborting.

que podra ser? gracias

Todo funciona bien hasta que llego a la línea

service apf start


Recibo el error:

bash: service: command not found

es porque seguramente no tenes red hat o no tenes instalado el "service". pone apf -start y fijate si funciona

apf -start no funciona

En sbin existe service, pero no puedo ejecutarlo ¿qué hago?

/sbin/service apf start

y sino, hace whereis apf y donde lo encuentre pones:
/lacarpeta/apf -start

sino encuentra nada pone find / -name apf

Lo solucioné entrando utilizando su - en lugar de su

Disculpen, soy nuevo y no entiendo muy bien todo esto, estaba a punto de instalar el firewall en mi server pero cuando lei que si lo hago mal me quedo fuera entonces preferí molestarles pidiendoles un poco mas de apoyo...


Sucede que "chapsrulez" mensionó:



La verdad es que yo no tengo ese famoso PICO, solo uso VI y no se si es los mismos comandos pero solo reemplazando PICO por VI

Ahora, la verdad es que no se a que se refieran con el comprobador, yo la verdad aun no instalo ningun firewall y entonces puse el comando para verificar y me arrojó los siguientes datos:

[root@server root]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
DROP icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 2000/sec burst 2000
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
[root@server root]#


¿Esto es bueno... malo... o regular?...

Ahora bien, en verdad, disculpen si son muchas preguntas pero si deseo implementar la seguridad en mi server...

Regresando a Tema:

El amigo "Arturo" escrició:



La verdad no se que sea "CRONTAB" a donde debemos entrar para agregar las lo del "limpiador" para que cada 15 minutos haga los "resets" y pueda salvarme en caso de hacer algo mal....


En verdad me da mucha pena pero me gustaría saber si alguien de ustedes desearía ayudarme en estas dudas e indicarme si sigo todo paso a paso lo del HOW-TO de "Urbenalia"...

Gracias...
En verdad, lamento las molestias, espero que alguien desee dedicarme un par de minutos y ayudar a mejorar mi seguridad...

Quiero agregar algunas cosas. Soy nuevo y estuve leyendo mucho los ultimos dias, en la guia esta no indican como hacer que el APF cargue cada vez que se reinicia el servidor, un detalle a tener en cuenta para los novatos como yo.

Hay dos formas de hacer esto:

Ejecutar estos comandos

chkconfig --add apf
chkconfig --level 345 apf on

o editar el siguiente archivo

pico /etc/rc.local

y agregar la linea:

sh -c "/etc/apf/apf -s" &

Aqui tienen algunos comandos para usarlo una vez instalado:

-start Load firewall policies
-restart Flsuh & Load firewall
-flush Flush firewall
-list List chain rules
-status Firewall status

Al sacar el listado me muestra lo siguiente:

Chain INPUT (policy ACCEPT)
target prot opt source destination
acctboth all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
acctboth all -- 0.0.0.0/0 0.0.0.0/0

Chain acctboth (2 references)
target prot opt source destination
all -- 0.0.0.0/0 0.0.0.0/0

Alguien me explica por favor, deberia seguir las instrucciones de instalaciond el firewall?

Bueno, no es novedad. Nunca he podido configurar APF en un CPanel, sin embargo nunca he tenido problema alguno con los Ensim.

El problema específico es que el servidor se bloquea completo cada vez que inicio APF, siguiendo todas las instrucciones de este foro y de otros en inglés, tanto de CPanel como de Ev1. Coloco los puertos correspondientes (en este caso 21,22,25,53,80,443,110,143,2082,2086,2095,3306 y el UDP="53"), configuro las demás opciones, y cuando inicio, pierdo el contacto con la máquina.

Hay una opción en este How-To, donde dice editar el archivo "icmp.rules", pues este no está en la actual distribución de APF.

Si alguien ha tenido este problema, y sabe como resolverlo, por favor deme alguna luz para poder instalar de una vez el firewall...

Gracias

Bueno, no es novedad. Nunca he podido configurar APF en un CPanel, sin embargo nunca he tenido problema alguno con los Ensim.

El problema específico es que el servidor se bloquea completo cada vez que inicio APF, siguiendo todas las instrucciones de este foro y de otros en inglés, tanto de CPanel como de Ev1. Coloco los puertos correspondientes (en este caso 21,22,25,53,80,443,110,143,2082,2086,2095,3306 y el UDP="53"), configuro las demás opciones, y cuando inicio, pierdo el contacto con la máquina.

Hay una opción en este How-To, donde dice editar el archivo "icmp.rules", pues este no está en la actual distribución de APF.

Si alguien ha tenido este problema, y sabe como resolverlo, por favor deme alguna luz para poder instalar de una vez el firewall...

Gracias

Sebastian tengo el mismo problema, pero yo uso Ensim, la version que baje de APF es la apf-0.9.3_3 al igual que tu no encuentro el archivo "icmp.rules"

Ojo:

Urbenalia menciona

" y en Common ingress (inbound) TCP ports tendremos esto:

IG_TCP_CPORTS="22"

ponemos: "21,22,25,53,80,443,110,143,2082,2086,2095,3306"

esos son los puertos que abrimos. SI usamos las estadísticas Urchin deberemos añadir el 9999 por ejemplo y asi sucesivamente si usamos otros puertos importantes. Los que os pongo ahi son los normales a tener abiertos.

Y 53 como UDP port "

La duda es :

es correcto que se repita el puerto 53 en TCP y luego usarlo en
UDP ?

Saludos,

Yerba ++

Si usas tus propios nameservers has de abrir el 53 en tcp y UDP. Si usas ensim acuerdate de abrir el puerto 19638 tcp y para Urchin el 9999 ... esto seria para el Ensim:

Puertos TCP: 21,22,25,53,80,443,110,143,3306,9999,19638
Puertos UDP: 53

jaume muchas gracias por aclarar mi duda sobre el puerto 53, ahora solo tengo el problema que no encuentro el archivo "icmp.rules", al parecer no viene incluido con la version mas reciente de APF "apf-0.9.3_3"

Como instalar el firewall sin este archivo ?


De antemano muchas gracias por toda la ayuda.


Yerba++

Unable to load iptables module (ip_tables), aborting.

He actualizado un poco el How to, sobretodo en lo referente a los puertos abiertos de salida que son lo que pueden aprovechar usuarios o programas externos para atacar o acceder a otros servidores.

Gracias a Jaume por su paciencia

Un Saludo

Saludos, cuando llego a la edicion de icmp.rules no encuentro ese archivo en /etc/apf . Sabeis xk puede ser?

Gracias, Xosé

Ese archivo solo estaba en las versiones antiguas.

Si, lo acabo de ver, diskulpadme por no leer inicialmente los últimos post.

Pero sigue sin haber respuesta para esto, voy a esperar antes de hacer nada y buscar a ver si la encuentro. Urbenalia, Jaume, podeis decirnos como resolver esto?

Gracias, Xosé

Fuente : http://www.webhostgear.com/61.html

Lo he seguido xk es más actual aunke de todos modos es para todos nosotros un poko intangible todo esto, necesita un analisis más profundo para saber lo que haemos.

What is APF (Advanced Policy Firewall)?
APF is a policy based iptables firewall system designed for ease of use and configuration. It employs a subset of features to satisfy the veteran Linux user and the novice alike. Packaged in tar.gz format and RPM formats, make APF ideal for deployment in many server environments based on Linux. APF is developed and maintained by R-fx Networks: http://www.rfxnetworks.com/apf.php

This guide will show you how to install and configure APF firewall, one of the better known Linux firewalls available.

Requirements:
- Root SSH access to your server

Lets begin!
Login to your server through SSH and su to the root user.

1. cd /root/downloads or another temporary folder where you store your files.

2. wget http://www.rfxnetworks.com/downloads/apf-c...-current.tar.gz

3. tar -xvzf apf-current.tar.gz

4. cd apf-0.9.3_3/ or whatever the latest version is.

5. Run the install file: ./install.sh
You will receive a message saying it has been installed

.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf

6. Lets configure the firewall: pico /etc/apf/conf.apf
We will go over the general configuration to get your firewall running. This isn't a complete detailed guide of every feature the firewall has. Look through the README and the configuration for an explanation of each feature.

We like to use DShield.org's "block" list of top networks that have exhibited
suspicious activity.
FIND: USE_DS="0"
CHANGE TO: USE_DS="1"

7. Configuring Firewall Ports:

Cpanel Servers
We like to use the following on our Cpanel Servers

Common ingress (inbound) ports
# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,30000_35000"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"

Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"


Ensim Servers
We have found the following can be used on Ensim Servers - although we have not tried these ourselves as I don't run Ensim boxes.

Common ingress (inbound) ports
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"

Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"

Save the changes: Ctrl+X then Y


8. Starting the firewall
/usr/local/sbin/apf -s

Other commands:
usage /usr/local/sbin/apf [OPTION]
-s|--start ............. load firewall policies
-r|--restart ........... flush & load firewall
-f|--flush|--stop ...... flush firewall
-l|--list .............. list chain rules
-st|--status ........... firewall status
-a HOST|--allow HOST ... add host (IP/FQDN) to allow_hosts.rules and
immediately load new rule into firewall
-d HOST|--deny HOST .... add host (IP/FQDN) to deny_hosts.rules and
immediately load new rule into firewall

9. After everything is fine, change the DEV option
Stop the firewall from automatically clearing itself every 5 minutes from cron.
We recommend changing this back to "0" after you've had a chance to ensure everything is working well and tested the server out.

pico /etc/apf/conf.apf

FIND: DEVM="1"
CHANGE TO: DEVM="0"

Save your changes! Ctrl+X then press Y
Restart the firewall: /usr/local/sbin/apf -r

10. New - Make APF Start automatically at boot time
To autostart apf on reboot, run this:

chkconfig --level 2345 apf on

To remove it from autostart, run this:

chkconfig --del apf

Thanks to R-fx networks for developing and maintaining this product.

Es indispensable tener el iptables corriendo para que funcione el APF? segun el readme me parece que si

si es asi necesito saber como entro y configuro el iptables ya busque por todo lado y no encuentro, ahora tengo que tener el iptables detenido porque me esta cerrando el acceso al servidor,

antes tenia red hat 7.3 y la configuracion venia en
etc/sysconfig/iptables-config pero ahora me hicieron un restore con rh 9 y francamente quede perdido creo que viene con otra version puesto que hago un locate y no me aparece el archivo de conf

**************************************

/etc/rc.d/init.d/iptables
/etc/rc.d/rc0.d/K92iptables
/etc/rc.d/rc1.d/K92iptables
/etc/rc.d/rc2.d/S08iptables
/etc/rc.d/rc3.d/S98iptables
/etc/rc.d/rc4.d/S08iptables
/etc/rc.d/rc5.d/S08iptables
/etc/rc.d/rc6.d/K92iptables
/usr/share/doc/mrtg-2.9.17/contrib/iptables-accounting
/usr/share/doc/mrtg-2.9.17/contrib/iptables-accounting/README
/usr/share/doc/mrtg-2.9.17/contrib/iptables-accounting/iptables-accounting
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc/iptables_acc
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc/README
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc_snmp
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc_snmp/HANDCO-SNMP-MIB.txt
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc_snmp/README
/usr/share/doc/mrtg-2.9.17/contrib/iptables_acc_snmp/iptables_acc_snmp
/usr/share/man/man8/iptables-restore.8.gz
/usr/share/man/man8/iptables-save.8.gz
/usr/share/man/man8/iptables.8.gz
/lib/iptables
/lib/iptables/libipt_MASQUERADE.so
/lib/iptables/libipt_DNAT.so
/lib/iptables/libipt_DSCP.so
/lib/iptables/libipt_ECN.so
/lib/iptables/libipt_LOG.so
/lib/iptables/libipt_MARK.so
/lib/iptables/libipt_MIRROR.so
/lib/iptables/libipt_REDIRECT.so
/lib/iptables/libipt_REJECT.so
/lib/iptables/libipt_SAME.so
/lib/iptables/libipt_SNAT.so
/lib/iptables/libipt_TCPMSS.so
/lib/iptables/libipt_TOS.so
/lib/iptables/libipt_TTL.so
/lib/iptables/libipt_ULOG.so
/lib/iptables/libipt_ah.so
/lib/iptables/libipt_conntrack.so
/lib/iptables/libipt_dscp.so
/lib/iptables/libipt_ecn.so
/lib/iptables/libipt_esp.so
/lib/iptables/libipt_helper.so
/lib/iptables/libipt_icmp.so
/lib/iptables/libipt_iplimit.so
/lib/iptables/libipt_length.so
/lib/iptables/libipt_limit.so
/lib/iptables/libipt_mac.so
/lib/iptables/libipt_mark.so
/lib/iptables/libipt_multiport.so
/lib/iptables/libipt_owner.so
/lib/iptables/libipt_pkttype.so
/lib/iptables/libipt_standard.so
/lib/iptables/libipt_state.so
/lib/iptables/libipt_tcp.so
/lib/iptables/libipt_tcpmss.so
/lib/iptables/libipt_tos.so
/lib/iptables/libipt_ttl.so
/lib/iptables/libipt_udp.so
/lib/iptables/libipt_unclean.so
/sbin/iptables-restore
/sbin/iptables
/sbin/iptables-save
*******************************************

si alguien me pudiera echar una pista se lo agradecería mucho

Alguen puede ayudarme, cuando llego a esta parter ( pico -w icmp.rules) me aparece como archivo nuevo y no me sale ningun parrafo como este:


#$IPT -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT

Que puedo hacer si no tengo este parrafo..?
Gracias,

samasa

Samasa,

Este archivo no esta mas (estaba en versiones viejas) lo trae dentro del conf.apf, eso era para tambien ACEPTAR los ICMP tipo 8, y si miras por dentro del conf.apf encontraras
IG_ICMP_TYPES="3,5,11,0,30,8" y es justamente eso mismo!!

NOTA para URBENALIA:
le agregarias una nota a tu post original comentando que este paso a partir de la version 0.9.3 no es necesario porque lo trae dentro del conf.apf)

Editado lo referente a icmp.rules en el How to original.

También comentaros que versiones anteriores a la 0.9.3_3 de APF pueden llegar a banear tu propia IP sin motivo aparente.

A mi me paso hace unos dias y nadie daba con la solución, menos mal que tenia otra conexión con otra ip y podia entrar a hacer pruebas. Finalmente actualice el firewall y todo ha vuelto a la normalidad.

Sobre Actualizar el Firewall que alguno me lo preguntais por privados.

Paramos el Firewall, bajamos la ultima versión del APF (el enlace siempre es el mismo: http://www.rfxnetworks.com/downloads/apf-c...-current.tar.gz (a dia de hoy 0.9.3_3)

Lo descomprimimos y lo instalamos. Copiara los archivos encima de los anteriores. Nos tocará repetir las configuraciones. El mismo How to de instalación os sirve para esta nueva configuración. No se recomienda guardar archivos de configuración antiguos ya que las nuevas versiones suelen traer variaciones nuevas.

Según haya configuraciones o recomendaciones nuevas se irán incorporando.

Un Saludo

Hola,


he configurado el cortafuegos tal y como habéis indicado, luego he ejecutado " iptables -L -n " como dijo nuestro amigo Jaume.

Entonces me aparece cosas como estas:
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:22 flags:0x16/0x02 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:32770:32780 dpts:33434:33500
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:32770:32780 dpts:33434:33500
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 6 level 4 prefix `** IN_TCP DROP ** '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 4 level 4 prefix `** IN_UDP DROP ** '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 62.148.163.0/24
DROP all -- 0.0.0.0/0 68.251.96.0/24
DROP all -- 0.0.0.0/0 204.30.152.0/24
DROP all -- 0.0.0.0/0 203.194.42.0/24
DROP all -- 0.0.0.0/0 80.138.188.0/24
DROP all -- 0.0.0.0/0 213.6.77.0/24
DROP all -- 0.0.0.0/0 222.148.140.0/24
DROP all -- 0.0.0.0/0 80.103.38.0/24
DROP all -- 0.0.0.0/0 220.105.163.0/24
DROP all -- 0.0.0.0/0 80.103.42.0/24
DROP all -- 0.0.0.0/0 220.220.221.0/24
DROP all -- 0.0.0.0/0 219.130.45.0/24
DROP all -- 0.0.0.0/0 61.51.45.0/24
DROP all -- 0.0.0.0/0 220.184.38.0/24
DROP all -- 0.0.0.0/0 219.141.31.0/24
DROP all -- 0.0.0.0/0 218.93.134.0/24
DROP all -- 0.0.0.0/0 220.163.30.0/24
DROP all -- 0.0.0.0/0 61.138.85.0/24
DROP all -- 0.0.0.0/0 219.78.139.0/24
DROP all -- 0.0.0.0/0 61.73.48.0/24
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:135:139
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:111
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:111
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:161
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:161
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:199
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:199
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:513
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:513
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:445
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1433
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1434
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1434
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1234
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1234
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1524
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1524
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3127
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3127
DROP all -- 224.0.0.0/8 0.0.0.0/0
DROP all -- 0.0.0.0/0 224.0.0.0/8
DROP all -- 255.255.255.255 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08
OUT_SANITY tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
FUDP udp -f 0.0.0.0/0 0.0.0.0/0
PZ udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:0
PZ tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10100
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6667
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 12/sec burst 5
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21 dpts:1023:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20 state RELATED,ESTABLISHED
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 6 level 4 prefix `** OUT_TCP DROP ** '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 4 level 4 prefix `** OUT_UDP DROP ** '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FUDP (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** UDP Frag **'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain IN_SANITY (11 references)
target prot opt source destination
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** IN_SANITY **'
DROP tcp -- 0.0.0.0/0 0.0.0.0/0

Chain LA (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain LD (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LMAC (0 references)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-net-prohibited

Chain OUT_SANITY (7 references)
target prot opt source destination
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** OUT_SANITY **'
DROP tcp -- 0.0.0.0/0 0.0.0.0/0

Chain PROHIBIT (0 references)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain PZ (4 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** Port Zero **'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain RESET (0 references)
target prot opt source destination
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset

Chain SSH_LOG (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** SSH ** '

Chain TELNET_LOG (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `** TELNET ** '



Significa que está bien configurado?
Está corriendo satisfactoriamente?



Saludos y gracias.

Es que como véis no tengo habilitado el puerto 80 en TCP, sin embargo hago un telnet dirección_ip 80 y conecta....



Saludos,

# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11,0,30,8"

Y para que sirve esta regla?


Quiero que el ICMP no responda, es decir, que no responda a los PING, así tengo menos posibilidades de un DDoS.


PS: Lees los dos posts que he puesto antes de este mensaje.


Muchas gracias.

Yo veo que si que tienes el 80 tcp abierto:
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Lo de desabilitar los pings no te reduce el riesgo a los DoS. Aparte, el apf reacciona bien ante los ping floods.

hola:

como soy medio (tal vez bastante) novato con estos temas, luego de haber leido este y otros hilos, pregunto por las dudas si este howto podría funcionar en redhat + ensim pro 4.0.2-7.-

aparte, ya que estoy corrigiendo porque había puesto fedora y el nuevo servidor tiene redhat, les consulto de donde descargr el apf, ya que los enlaces van a sitios que no responden, y no pude encontrarlo aun con google.-

... y siguiendo un rato mas con google, encontré este hilo en un foro en español, con comentarios interesantes y un enlace para descarga que al parecer funcionó ... creo que puedo confiar además en que el archivo descargado es válido y versión actual, por las dudas lo comparto y lo comento con ustedes :-)

gracias. saludos cordiales :-)

Quiero Instalar El APF en servidor virtual, algun consejo que me puedan dar !!

y sobre si es igual o que cambia al instarlar APF en un virtual

Saludos.