Kvalitetssikring af firewall, Linux, iptables

Tilmeldt 20. Apr 07

Indlæg ialt: 16014

Slettet bruger Skrevet 09-07-2010 kl. 19:46

Hvor mange stjerner giver du? :

Kære aminoer!

Er der nogle garverede syd.admrotter, der har to sekunder til at sige om følgende iptables-konfiguration (VPS, der kører Centos m. AMP), ser fornuftig ud? xxx'erne indikerer to porte, jeg har valgt til henholdsvis ssh og webmin.

//
*filter

# Dropping incoming connections that don't have explecit rules bellow
:INPUT DROP [68:4456]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1628:151823]

# Allow established connections for both public and private connections
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT

# Opening ports wide open
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxx -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxx -j ACCEPT

# Commmiting the rules to the firewall
COMMIT
//

Fra Værløse

Tilmeldt 5. Nov 07

Indlæg ialt: 686

Nils Fra Kammalou.com Skrevet 09-07-2010 kl. 21:46

Hvor mange stjerner giver du? :

1)

Det virker usikkert at poste sin firewall config ?

2)

Jeg mangler en MySQL Rule ?

SAFe SPC, Magento Expert, Jira Guru, Kammalou.com

Tilmeldt 29. Nov 10

Indlæg ialt: 0

Slettet Bruger Skrevet 09-07-2010 kl. 21:59

Hvor mange stjerner giver du? :

Basalt set ser det fornuftigt ud. Dog vil jeg ikke anbefale at tillade MySQL udefra; hvis det endelig skal være, skal det gerne være tilladt fra en bestemt IP-adresse, og ikke wildcard.

Det samme kan du iøvrigt gøre med både SSH og Webmin, så du begrænser hvorfra du må SSH'e og Webmin'e ind.

Se også på UDP- og ICMP-trafik, om du vil tillade det.

Og hvis du vil være rigtig sikker, så log etablering af sessions til webmin og ssh, og sørg for at bruge remote logging (over en VPN-tunnel eller lignende) til en anden Linux-maskine.

Tilmeldt 29. Nov 10

Indlæg ialt: 0

Slettet Bruger Skrevet 09-07-2010 kl. 22:01

Hvor mange stjerner giver du? :

Jeg kom til at se på; det kan godt være du lige skal åbne op for DNS-trafik (UDP/53); det bliver blokeret lige nu, så vidt jeg kan se.

Det er også en god idé lige at bruge en netstat -anp for at se hvilke processer, der lytter på hvilke porte og protokoller, og blokere og tillade efter behov.

Fra Værløse

Tilmeldt 5. Nov 07

Indlæg ialt: 686

Nils Fra Kammalou.com Skrevet 09-07-2010 kl. 22:05

Hvor mange stjerner giver du? :

Allan Jensen:
Basalt set ser det fornuftigt ud. Dog vil jeg ikke anbefale at tillade MySQL udefra; hvis det endelig skal være, skal det gerne være tilladt fra en bestemt IP-adresse, og ikke wildcard.

100% enig.

Input på lo interfacet. Eller input tcp/3306 på 127.0.0.1.

SAFe SPC, Magento Expert, Jira Guru, Kammalou.com

Tilmeldt 20. Apr 07

Indlæg ialt: 16014

Slettet bruger Skrevet 09-07-2010 kl. 22:11

Hvor mange stjerner giver du? :

1) Tja, tjo -- firewallopsætningen er jo for så vidt 100% generisk, og de relevante porte er x'et ud. Selvfølgelig skriver jeg, at jeg kører webmin og ssh. Men det gør de fleste vel.

2) Mener du, at der bør være en regel for indgående MySQL, eller? Eller at der pt. er åbent for den?

Indtil videre har jeg kørt MySql igennem shell eller phpmyadmin i et directory, som jeg chmod til 0000, når jeg er færdig.

Regner ikke med at få brug for MySql Workbench eller andet.

Tilmeldt 20. Apr 07

Indlæg ialt: 16014

Slettet bruger Skrevet 09-07-2010 kl. 22:16

Hvor mange stjerner giver du? :

Tak for gode indspark.

Webmin er nu skærmet af (mod én ip-adresse). SSH tør jeg ikke helt associere med min hjemme-ip-adresse hos cybercity, for så er der jo 100% lukket, hvis den skifter på grund af nyt udstyr eller serverhalløj på Cybercitys side?

Hvad vil fordelen af at tillade UDP- og ICMP-trafik være?

Remote logging vil jeg kigge på, har en lille VPS i Holland, der kunne tjene til det formål.