Teknik, hosting & e-handelsløsninger

Svar: Kvalitetssikring af firewall, Linux, iptables

Anonymous — Fri, 09 Jul 2010 20:16:20 GMT

Tak for gode indspark.

Webmin er nu skærmet af (mod én ip-adresse). SSH tør jeg ikke helt associere med min hjemme-ip-adresse hos cybercity, for så er der jo 100% lukket, hvis den skifter på grund af nyt udstyr eller serverhalløj på Cybercitys side?

Hvad vil fordelen af at tillade UDP- og ICMP-trafik være?

Remote logging vil jeg kigge på, har en lille VPS i Holland, der kunne tjene til det formål.

Svar: Kvalitetssikring af firewall, Linux, iptables

Anonymous — Fri, 09 Jul 2010 20:11:46 GMT

1) Tja, tjo -- firewallopsætningen er jo for så vidt 100% generisk, og de relevante porte er x'et ud. Selvfølgelig skriver jeg, at jeg kører webmin og ssh. Men det gør de fleste vel.

2) Mener du, at der bør være en regel for indgående MySQL, eller? Eller at der pt. er åbent for den?

Indtil videre har jeg kørt MySql igennem shell eller phpmyadmin i et directory, som jeg chmod til 0000, når jeg er færdig.

Regner ikke med at få brug for MySql Workbench eller andet.

Svar: Kvalitetssikring af firewall, Linux, iptables

Nils — Fri, 09 Jul 2010 20:05:51 GMT

Allan Jensen:
Basalt set ser det fornuftigt ud. Dog vil jeg ikke anbefale at tillade MySQL udefra; hvis det endelig skal være, skal det gerne være tilladt fra en bestemt IP-adresse, og ikke wildcard.

100% enig.

Input på lo interfacet. Eller input tcp/3306 på 127.0.0.1.

Svar: Kvalitetssikring af firewall, Linux, iptables

Slettet Bruger — Fri, 09 Jul 2010 20:01:57 GMT

Jeg kom til at se på; det kan godt være du lige skal åbne op for DNS-trafik (UDP/53); det bliver blokeret lige nu, så vidt jeg kan se.

Det er også en god idé lige at bruge en netstat -anp for at se hvilke processer, der lytter på hvilke porte og protokoller, og blokere og tillade efter behov.

Svar: Kvalitetssikring af firewall, Linux, iptables

Slettet Bruger — Fri, 09 Jul 2010 19:59:29 GMT

Basalt set ser det fornuftigt ud. Dog vil jeg ikke anbefale at tillade MySQL udefra; hvis det endelig skal være, skal det gerne være tilladt fra en bestemt IP-adresse, og ikke wildcard.

Det samme kan du iøvrigt gøre med både SSH og Webmin, så du begrænser hvorfra du må SSH'e og Webmin'e ind.

Se også på UDP- og ICMP-trafik, om du vil tillade det.

Og hvis du vil være rigtig sikker, så log etablering af sessions til webmin og ssh, og sørg for at bruge remote logging (over en VPN-tunnel eller lignende) til en anden Linux-maskine.

Svar: Kvalitetssikring af firewall, Linux, iptables

Nils — Fri, 09 Jul 2010 19:46:17 GMT

Det virker usikkert at poste sin firewall config ?

Jeg mangler en MySQL Rule ?

Kvalitetssikring af firewall, Linux, iptables

Anonymous — Fri, 09 Jul 2010 17:46:44 GMT

Kære aminoer!

Er der nogle garverede syd.admrotter, der har to sekunder til at sige om følgende iptables-konfiguration (VPS, der kører Centos m. AMP), ser fornuftig ud? xxx'erne indikerer to porte, jeg har valgt til henholdsvis ssh og webmin.

//
*filter

# Dropping incoming connections that don't have explecit rules bellow
:INPUT DROP [68:4456]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1628:151823]

# Allow established connections for both public and private connections
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT

# Opening ports wide open
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxx -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxx -j ACCEPT

# Commmiting the rules to the firewall
COMMIT
//