Uno de los aspectos que mucha gente olvida, es la de securizar su servidor.
Aparte de dormir tranquilo cada noche, conseguirás reducir el consumo de tu servidor evitando conexiones a puertos no deseados, escaneo de puertos, y ahorro de ancho de banda.

Que necesitas:

  • Un servidor linux
  • Acceso por consola SSH

Desde hace años uso un firewall llamado APF (Advanced Policy Firewall) está muy extendido en la comunidad linux, se basa en iptables (como casi todos) y es fácil de entender y configurar, por defecto viene con un subset de reglas para echar a andar.

Instalación:

1. Accede a tu máquina como root

2. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

3. tar -xvzf apf-current.tar.gz

4. cd apf-0.9.7/ o la versión que hayas descargado

5. Ejecuta el archivo install que lo hace todo:./install.sh

Verás algo parecido a esto cuando esté instalado

Installing APF 0.9.7: Completed.
Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

6. Ahora vamos a configurar ahora los puertos que necesitamos.

vi /etc/apf/conf.apf

No está demás usar la lista de bloqueos de DShield.org’s , es una especie de lista donde se recogen IP’s de redes que han mostrado actividad sospechosa.

Busca: USE_DS=”0″
Cambialo a: USE_DS=”1″

7. Vamos a configurar los puertos que queremos abrir y cerrar

Para Paneles de control cPanel 
Este es lo que suelo usar en servidores qeu tienen cPanel

Common ingress (inbound) ports
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500″

IG_UDP_CPORTS=”53″

Common egress (outbound) ports
EGF=”1″
EG_TCP_CPORTS=”21,25,80,443,43,2089″

EG_UDP_CPORTS=”20,21,53″

Para Paneles de control Plesk
Este es lo que suelo usar en servidores qeu tienen Plesk

Common ingress (inbound) ports
IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,9 93,995,8443″

IG_UDP_CPORTS=”37,53,873″

Common egress (outbound) ports
EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465 ,873,5224″

EG_UDP_CPORTS=”53,873″ 8. Arrancamos el firewall
/etc/init.d/apf start

9. Cuando vemos que todo funciona ok, tenemos que cambiar del DEV MODE a el modo definitivo, el firewall por defecto viene con DEVM=1 esto es por si metes la pata, el firewall acciona las reglas cada 5 minutos y luego las borra para en caso de haberla pifiado puedas volver a entrar a tu máquina

vi /etc/apf/conf.apf

Busca: DEVM=”1″
Cambia a: DEVM=”0″

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here