We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

El Firewall bloquea muchas conexiones salientes


mgsalinero
10/09/2014, 09:30
Te comento los puertos para abrir y ya decides tu si te interesa:
- 21: Puerto para FTP
- 22: Puerto para SSH y SFTP
- 25: Puerto SMTP
- 53: Puerto para BIND DNS (UDP y TCP)
- 79: Monitor OVH para un servidor dedicado que forma parte de un clúster con IP Load-balancing
- 80: Protocolo HTTP (Web)
- 110: POP3
- 443: IMAP
- 10000: Interfaz de administración WebMin (si no utilizas webmin quitalo)

Las direcciones que te marco son para el monitores de OVH. Más INFO: http://guias.ovh.es/FireWall

Los comandos que te he marcado son para aceptar conexiones entrantes (INPUT). Yo de salidas (OUTPUT) y redirecciones (FORWARD) las tengo bloqueadas todas o abiertas todas.... no lo se XD la verdad, no me acuerdo. Luego te lo confirmo por la tarde.

Efectivamente, sin no me equivoco CSF funciona con IPTables. Aquí te doy un enlace para manejar las reglas usando comandos IPTABLES http://tecadmin.net/add-custom-iptables-rules-with-csf/

Igualmente, si puedes poner una lista de los puertos abiertos y cerrados que tienes quizás veamos algo extraño.

Un saludo

Miquel Valkir
10/09/2014, 08:11
Muchas gracias mgsalinero por tu pronta respuesta!

Yo utilizo el firewall CSF que creo que está basado en iptables. Estoy intentando adaptar los comando que me indicas a la configuración del csf firewall. Pero tengo algunas cuestiones. Los puertos que me indicas para abrir:

tcp: 21, 22, 25, 53, 79, 80, 110, 443, 10000
udp: 53

mi pregunta es, están abiertos para entrada, salida o las dos cosas?

en cuanto a las direcciones que añades a continuación, me imagino que son ip's permitidas, entonces así las añadiré.

Gracias! y un saludo

mgsalinero
05/09/2014, 12:53
Comunica el resultado de aplicar el firewall correctamente.

mgsalinero
05/09/2014, 12:52
Comprueba las reglas firewall que tienes de IPTables (si usas ipTables claro). Aquí te dejo lo más común para un VPS:

iptables -F &&
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT &&

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT &&

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source AA.BB.CC.250 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p icmp --source AA.BB.CC.251 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --source 192.168.0.0/16 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p udp --source 192.168.0.0/16 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 79 -j ACCEPT &&
/sbin/iptables -A INPUT -i eth0 -j REJECT

AA.BB.CC es el inicio de la direccion IP de tu servidor. Ejemplo: VPS = 34.21.53.454 => AA.BB.CC = 34.21.53

Puedes ejecutar el comando de un golpe o línea por línea quitando los &&. Se que sobran & pero bueno. Te marco en negrita los críticos para web y mail (igmp y smtp)

Un saludo.

Miquel Valkir
05/09/2014, 08:39
Hola!

Estoy administrando un vps, que solo utilizo como servidor de vídeos. La seguridad que he puesto es con el firewall CSF. Los primeros 2 meses ha ido todo bien, pero hace unos días han aparecido muchas conexiones salientes en los logs. Antes recibía muchos intentos de conexión, supongo que de gente que escanean ips y puertos para ver si alguno pica.

Bueno, el caso es que al principio solo recibía estos intentos de entrada, pero desde hace unos días que recibo muchos intentos de salida que el firewall también bloquea. A continuación les pongo una muestra, aunque la lista es muy larga, creo que cada día más:

From mi.vps - 819 packets
To 128.63.2.53 - 7 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 7 packets
To 141.101.123.93 - 66 packets
Service: http (tcp/80) (Firewall: *TCP_OUT Blocked*) - 66 packets
To 190.93.240.93 - 66 packets
Service: http (tcp/80) (Firewall: *TCP_OUT Blocked*) - 66 packets
To 190.93.241.93 - 18 packets
Service: http (tcp/80) (Firewall: *TCP_OUT Blocked*) - 18 packets
To 190.93.242.93 - 42 packets
Service: http (tcp/80) (Firewall: *TCP_OUT Blocked*) - 42 packets
To 190.93.243.93 - 48 packets
Service: http (tcp/80) (Firewall: *TCP_OUT Blocked*) - 48 packets
To 192.5.5.241 - 15 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 15 packets
To 192.33.4.12 - 11 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 11 packets
To 192.36.148.17 - 10 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 10 packets
To 192.112.36.4 - 10 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 10 packets
To 192.150.94.200 - 29 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 29 packets
To 192.203.230.10 - 15 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 15 packets
To 208.94.148.2 - 17 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 17 packets
To 208.109.255.50 - 79 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 79 packets
To 209.6.3.210 - 4 packets
Service: domain (udp/53) (Firewall: *UDP_OUT Blocked*) - 4 packets

Me han hackeado? He probado de volver a reinstalar el vps y vuelve a aparecer lo mismo.

Muchas gracias de antemano por la ayuda que puedan prestarme!