Roundcube y puertos, problema muyyyyyyy raro, raro, raro.

Gracias por tu rápida respuesta:
Uso iptables y como bien dices tú, no tendría que tener nada que ver las reglas y de hecho así es con los puertos entrantes, pero no ocurre así con los salientes. Efectivamente es por ipv6. que yo no uso, pero el usuario vmail, que es el genérico para el correo virtual, le asigna ips y puertos ipv4 y eso al igual que lo de mysql, no le encuentro sentido alguno, pero vamos, tampoco sé mucho yo de administrar servers y no sé si debe ser así o no. Pensaba que con un puerto para mysql bastaba y que el usuario vmail se conectaría por un puerto normal, o el 80 o el 143, pero esto en plan servidor de dhcp, pues no lo entiendo.
EL tema seguridad de contraseñas está a medias, ahora sí uso una para todo o me volveré loco, porque estoy todavía montando mucha cosas y me liaría, no es una fácil, pero tampoco es nada del otro jueves. El usuario root no tiene permisos ssh y lo hago por sudo y tampoco está en el puerto 22. Cuando esté todo listo, igual en lugar de no usar password por ssh, simplemente lo deshabilito, porque con el que tiene em manager para algo puntual, me sobra y luego un ftp de usuario para las webs y restringido a mi ip por si las moscas. Otra cosa que me sorprende de centos, es que las carpetas temporales tienen permisos 777 y esto tampoco le veo lógic alguna. En cuanto al capado de puertos salientes sé que no es importanete porque no pueden entrar por la salida, pero no está de más por si entran, que al menos no puedan bombardear por cualquier puerto, aunque en realidad, digo yo que habiendo puertos conocidos abiertos por necesidad, siempre podrán usar eso, porque he intentado poner reglas que solo lo puedan usar determinados usuarios y no me han funcionado
Para terminar decirte que sospecho que nadie entró en mi vps, me da que es cosa de elastic search, que necesito tener activada la opción de scripts y ya dice en su manual que es peligros y que si se activa hay que cerrar el puerto con el firewall y eso todavía no lo tenía configurado, pues estaba en fase de montaje y no pensé que en unas semanas ya me tocaran las narices los chinos de los...
En fin, gracias por tu ayuda: Luis.

Hola. Que firewall estás utilizando?

Según veo, las conexiones a MySQL de la captura que adjuntas son por IPv6, además de ser locales(localhost). No tendría que ser necesario aplicar reglas dentro de localhost.

Ahora bien, creo que te ha entrado una paranoia con este asunto, y que hace que no veas bien el problema de seguridad. Si anteriormente alguien entró a tu VPS, debe haber ocurrido por un problema de seguridad. Al respecto, hay varios aspectos a evaluar:

- La mayoría de casos que he visto entre usuarios de OVH se deben a una contraseña débil; conviene establecer contraseñas de al menos 12 caracteres, que tengan 3 de los 4 grupos (aA1*), y cambiarlas con cierta frecuencia(de 1 a 3 meses como máximo).
- Las reglas salientes del firewall no son importantes, siempre que puedas confiar en todo lo que tengas instalado. Las entrantes si son muy importantes: sólo debes permitir los puertos que estés totalmente seguro que son necesarios.
- El acceso al servidor: no permitas login como root, nunca! Lo mejor es utilizarlo a través de sudo o su, desde un usuario no privilegiado; así, el único usuario que a ciencia cierta se sabe que existe(root) nunca será explotable remotamente, pues se requiere saber el usuario y contraseña de otro usuario, que puede ser cualquiera. Además, asegurate que el usuario root y el usuario de acceso no tengan la misma contraseña.
- Siempre es una buena opción utilizar acceso por public key en vez de autenticación por contraseña, ya sea password o keyboard-interactive; aunque, en algunos casos, puede complicarte la vida.
- Todos los procesos que reciban conexiones deben ejecutarse como usuarios no privilegiados: Bind, Apache, Dovecot, y cualquier otro. En caso alguno, como apache, requiriese ejecutar comandos con permisos elevados, existe sudo, o algún módulo expecífico(mod_suexec, en apache) para que sólamente ciertas operaciones se ejecuten con permisos elevados.

Buenas tardes:
No hace ni un mes que estoy por aquí y ya me cerraron el servidor, al parecer, por alguna razón que no he logrado determinar, alguien me coló algo que bombardeaba la ip de un chino (probablemente otro chino). El caso es que lo he reinstalado todo y ahora me he obsesionado con la seguridad de mi server. Una de las cosas que he hecho es cerrar todos los puertos entrantes y salientes e ir abriendo solamente los que vaya necesitando. Para el correo he abierto los normales, pero creo que para conectarme por imap desde roundcube a postfix/dovecot, no debería neceitar ningún puerto abierto y de hecho es sí con los entrantes, ya que todo está en el mismo vps, otra cosa es que se puedan mandar y recibir correos. De todos modos,como digo he abierto los tradicionales, incluido el 143 para el imap. EL problema que tengo está en los puertos salientes, no en los entrantes, que los puedo cerrar todos incluso los de forwared y se conecta igual. Pero si cierro los salientes no se conecta, el primero que descubrí que debía dejar abierto es el de la base de datos "3306", eso ya es raro, imagino que es para conectarse a postfixadmin, pero al estar todo en localhost, pues no le veo sentido, pero el sin sentido viene ahora. debo dejar un rango tanto en tcp como en udp (hablo de puertos salientes) cercano al 40000, pues el cliente vmail se conecta al puerto que le da la gana y con ips raras. lo mismo hace mysql o eso me parece a mí, es como un dhcp de puertos. Supongo que para alguien experimentado esto será algo normal, pero yo no le veo sentido. Aquí va una imagen para que lo veáis mejor:
[IMG]wikimusic.eu/shell.png[/IMG]
Como podéis ver vmail va cambiando de puerto y así es imposible configurar iptables (la manejo desde webmin) y mysql también va a la suya.
¿Algún amable forero puede decirme de que va esto y de como darle una solución coherente?
Muchas gracias por vuestra ayuda: Luis.