- Registrado
- 19 Dic 2014
- Mensajes
- 1.103
- Reacciones
- 1.243
partimos de la base de q tenemos webmin instalado.
lo primero de todo es cambiar el puerto de webmin,para eso en el menú q nos aparece a la izquierda ticamos en webmin y después en configuración de webmin,una vez alli nos aparecerá una imagen como esta:
una vez aqui le damos a puertos y direcciones:
una vez cambiado el puerto por el q queramos le damos a salvar.
Abrimos webmin en nuestro nuevo puerto y de nuevo vamos a la configuración de webmin,una vez alli ahora vamos a control de acceso a ip:
ticamos en solo permitir desde las direcciones listadas y ahi ponemos las direcciones q vamos a permitir entrar a nuestro webmin (las direcciones siempre una debajo de otra,todas las q querais permitir)si tenéis dinámica como yo pues ponéis el dyndns de casa,una vez puestas las ip le damos a salvar y regresamos a configuracion de webmin y entramos en autentificacion:
como no sabemos nunca con quien podemos dar,ni sabemos si el hacker es capaz de burlar el firewall pues activamos las siguientes casillas para mas seguridad:
password timeouts = activado.
failed login blocks = bloquear maquinas con mas de (nº de intentos q queramos)login fallidos durante(el tiempo q queramos)segundos.
block user with more than (nº de login q queramos)failed login for (el tiempo q queramos)seconds.
Also lock users with failed login = tambien podemos activar esta casilla pero si por casualidad al logearnos nos equivocamos pues nos bloqueara directamente y depolvida hasta q reiniciemos.
log failetures to syslog = si, asi podremos ver quien se logea y si alguien excepto quien permitamos a tenido ese placer.
Con eso creo q es suficiente lo demás podéis dejarlo como viene por defecto o bien configurarlo según vuestros intereses.
Ahora en el menú de la izquierda le damos a red y cortafuegos linux y vamos a empezar a crear nuestro firewall,esto es un ejemplo básico q he creado para usuarios q usamos multics,oscam ect..pero antes vamos a familiarizarnos un poco maso menos con lo q es cada cosa:
Paquetes entrantes (INPUT) para trafico entrante
Paquetes redirigidos (FORWARD) para trafico reenviado
Paquetes salientes (OUTPUT) para trafico saliente
-i define una interfaz de trafico entrante
-j establece una regla de destino del trafico,que puede ser:
ACCEPT = aceptar
DROP = descartar conexiones
REJECT = rechazar conexiones
--state información relativa al estado de conexión,q puede ser:
NEW = Intenta crear una nueva conexión
ESTABLISHED = El paquete forma parte de una conexión ya existente
RELATED = El paquete esta relacionado, aunque realmente no forma parte de una conexión existente
INVALID = El paquete ni es parte de una conexión existente ni intenta crear una nueva conexión
Como veis no he profundizado mucho pero con estos datos es suficiente para hacer nuestro firewall y empezar a comprender lo q estamos haciendo sin ser ningún profesional.Este tutorial q voy a presentar esta basado solo para gente q use multics y oscam en un vps o servidor dedicado pero comprendiendo un poco podéis usarlo para montarlo también en vuestra casa,q lo único q cambiaría seria q contamos con ip internas:
en webmin en el menu de la izquierda le damos a red y después a cortafuegos linux
le damos a permitir todo el trafico y a configurar firewall,de momento no lo habilitamos al arrancar,por si hacemos algo mal podamos resetear el servidor y poder modificar si nos hemos equivocado.
Ahora vamos a input y le damos a añadir regla:
En rule comment ponemos lo q queramos para saber q regla es,le damos a aceptar y seleccionamos la interfaz eth0 ( igual a = seleccionar).
Tiene q quedar claro q IGUAL A es seleccionar
ahora bajamos la barra hacia abajo y seleccionamos lo siguiente y le damos a crear:
seleccionamos estados de conexiones ( igual a) y ticamos conexión existente y pulsando control ticamos en relacionado con existente y le damos a crear
ya tenemos nuestra primera regla creada dicha regla es muy importante porque sin esta regla nadie podra conectar a nuestro multis ni recibir ninguna ecm.
Añadimos la siguiente regla:
aceptamos a nuestro localhost y le damos a crear.
siguiente regla:
Permitimos conexión a nuestras ip o dominios por ssh,en este caso tengo el 22 pero por mayor seguridad antes de crear esta regla mejor cambiarlo por otro
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
una vez q hayamos permitido el puerto a las ip o dominios q queramos lo cerramos para el resto de la gente
siguiente regla:
permitimos conexiones a nuestro webmin
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
cerramos conexiones para el resto de la gente a nuestro webmin
si os dais cuenta los procesos siempre son los mismos aceptar y denegar
siguiente regla:
permitimos conexiones a nuestra pagina de login de multics
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
lo cerramos para el resto
hasta aqui seria todo igual para todos (también haríamos lo mismo con nuestro port de login de oscam,mysql ect..) , pero ahora nos encontramos 2 formas de seguir haciéndolo:
1ªformula es la menos coñazo
abrimos puertos de nuestros profiles newcamd:
como veis he abierto un rango puertos,también se podría abrir puerto a puerto
siguiente regla:
abrimos puertos de nuestra cache
como veis para cache abrimos tanto tcp como udp,hariamos lo mismo con todos nuestros demás puertos,cccam,mgcamd con los puertos de nuestro oscam ect..recordando siempre q para cache y cache-ex hay q abrir tanto tcp como udp.Una vez q hayamos abierto todos los puertos q estemos usando cerramos todos los demás y así solo quedaran abiertos los especificados en las anteriores reglas:
una vez cerrados los puertos restantes vamos a protegernos contra diversos ataques,para ello creamos una nueva cadena llamada flood
ahora añadimos reglas en la nueva cadena creada
vamos a bloquear un tipo de scaneo ya desfasado aunque todavía se utiliza para ataques ddos,aunque en teoría no nos haria falta ya q hemos denegado el acceso a nuestras paginas http de multics,oscam ect..pero por si acaso lo ponemos:
bajamos la barra hacia abajo
seleccionamos lo q esta en rojo y le damos a crear
siguiente regla:
bajamos la barra hacia abajo y lo mismo
siguiente regla:
si ha ido todo bien quedara así:
Como sabemos en algunos tipos de escaneos se pueden falsear los flags tcp y asi traspasar el firewall para protegernos de eso creamos la siguiente cadena llamada PKT_FAKE
nos vamos a la nueva cadena creada
y ahora creamos las siguientes reglas:
bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear
siguiente regla:
bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear:
cuidado en el apartado flags tcp establecidos hay q seleccionar distinto de
y ahora seguimos con la siguiente regla:
una vez seleccionado todo damos a crear quedando así:
ahora creamos otra regla llamada FLAG_SCAN,la cual sirve para descartar paquetes tcp q no son correctos:
ahora empezamos a añadir reglas en la nueva cadena creada
descartar paquetes tcp q no son correctos
siguiente regla
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
siguiente regla:
bueno ya tendriamos nuestro firewall configurado, ahora le damos a aplicar configuracion
ahora probamos nuestro multics,oscam,ssh y si todo va bien le damos a activar al arrancar y volvemos a aplicar la configuración.
y para no volver a hacerlo cada vez q cambiamos de servidor pues entramos por ssh en etc y copiamos el archivo iptables.up.rules y cuando instalamos webmin en otro server ponemos el archivo.
aqui un resultado de nmap:
pues de esto se trata de no dejar ningún puerto al descubierto.
Con esto notareis mejor estabilidad en vuestros servidores, y para casa os aconsejo una raspberry q no chupa tanta luz.
Otra forma de hacerlo seria con el firewall q viene por defecto en linux :
abrimos el server con putty citamos:
touch iptables-script.sh
le damos permisos 755
chmod 755 iptables-script.sh
Ahora lo abrimos con cualquier editor de texto, por ejemplo nano:
nano iptables-script.sh
copiamos el script q os voy a dejar abajo,lo único que tenéis q modificar son los puertos y las ip y añadir si usais algo q no este en el script,quedando asi:
una vez hayamos modificado el script con nuestros puertos,ip y dominios guardamos el archivo y lo ejecutamos:
./iptables-script.sh
comprobamos q todo funciona correctamente y una vez q esta todo correcto ponemos la ruta del iptables-script.sh en /etc/rc.local para q la cargue al iniciar el sistema:
el archivo se crea en root,pero podemos ponerlo donde queramos y así quedaría el archivo rclocal:
y si después de todo esto nos zumba y instalamos webmin pues cuando vamos al cortafuegos de webmin podremos tambien cargar dichas reglas pero debéis de tener cuidado porque el cortafuegos de webmin no os cargara los dominios aceptado solo os cargara las ip asociadas a esos dominios q por supuesto tb podremos modificar dichas ip por los dominios en /etc/iptables.up.rules
tenéis q tener en cuenta q cuando queramos abrir cualquier puerto de nuestro multics tenemos q abrirlo también en nuestro webmin o firewall linux y siempre esa regla del puerto q queramos abrir debe de estar antes de la regla q cerramos todos los demas puertos,con webmin al crear la regla tendríamos q ir moviendola hacia arriba (proceso lento y aburrido) o bien lo hacemos por ssh q seria mejor y mas rapido en /etc/iptables.up.rules
y con el firewall de linux citaríamos
nano iptables-script.sh
pondríamos la nueva regla del puerto q queramos abrir,guardamos y reiniciamos
script iptables
también hay otra forma de hacerlo todo por dominios,de esa forma solo tendrían acceso a los puertos q queramos con quien compartimos,pero ya asi jodemos bastante a las paginitas de hackercitos q se dedican a poner nuestras ip y puertos abiertos.
Gracias al compañero campoy buen manual.
lo primero de todo es cambiar el puerto de webmin,para eso en el menú q nos aparece a la izquierda ticamos en webmin y después en configuración de webmin,una vez alli nos aparecerá una imagen como esta:
Debes estar registrado para ver las imágenes
una vez aqui le damos a puertos y direcciones:
Debes estar registrado para ver las imágenes
una vez cambiado el puerto por el q queramos le damos a salvar.
Abrimos webmin en nuestro nuevo puerto y de nuevo vamos a la configuración de webmin,una vez alli ahora vamos a control de acceso a ip:
Debes estar registrado para ver las imágenes
ticamos en solo permitir desde las direcciones listadas y ahi ponemos las direcciones q vamos a permitir entrar a nuestro webmin (las direcciones siempre una debajo de otra,todas las q querais permitir)si tenéis dinámica como yo pues ponéis el dyndns de casa,una vez puestas las ip le damos a salvar y regresamos a configuracion de webmin y entramos en autentificacion:
Debes estar registrado para ver las imágenes
como no sabemos nunca con quien podemos dar,ni sabemos si el hacker es capaz de burlar el firewall pues activamos las siguientes casillas para mas seguridad:
password timeouts = activado.
failed login blocks = bloquear maquinas con mas de (nº de intentos q queramos)login fallidos durante(el tiempo q queramos)segundos.
block user with more than (nº de login q queramos)failed login for (el tiempo q queramos)seconds.
Also lock users with failed login = tambien podemos activar esta casilla pero si por casualidad al logearnos nos equivocamos pues nos bloqueara directamente y depolvida hasta q reiniciemos.
log failetures to syslog = si, asi podremos ver quien se logea y si alguien excepto quien permitamos a tenido ese placer.
Con eso creo q es suficiente lo demás podéis dejarlo como viene por defecto o bien configurarlo según vuestros intereses.
Ahora en el menú de la izquierda le damos a red y cortafuegos linux y vamos a empezar a crear nuestro firewall,esto es un ejemplo básico q he creado para usuarios q usamos multics,oscam ect..pero antes vamos a familiarizarnos un poco maso menos con lo q es cada cosa:
Paquetes entrantes (INPUT) para trafico entrante
Paquetes redirigidos (FORWARD) para trafico reenviado
Paquetes salientes (OUTPUT) para trafico saliente
-i define una interfaz de trafico entrante
-j establece una regla de destino del trafico,que puede ser:
ACCEPT = aceptar
DROP = descartar conexiones
REJECT = rechazar conexiones
--state información relativa al estado de conexión,q puede ser:
NEW = Intenta crear una nueva conexión
ESTABLISHED = El paquete forma parte de una conexión ya existente
RELATED = El paquete esta relacionado, aunque realmente no forma parte de una conexión existente
INVALID = El paquete ni es parte de una conexión existente ni intenta crear una nueva conexión
Como veis no he profundizado mucho pero con estos datos es suficiente para hacer nuestro firewall y empezar a comprender lo q estamos haciendo sin ser ningún profesional.Este tutorial q voy a presentar esta basado solo para gente q use multics y oscam en un vps o servidor dedicado pero comprendiendo un poco podéis usarlo para montarlo también en vuestra casa,q lo único q cambiaría seria q contamos con ip internas:
en webmin en el menu de la izquierda le damos a red y después a cortafuegos linux
Debes estar registrado para ver las imágenes
le damos a permitir todo el trafico y a configurar firewall,de momento no lo habilitamos al arrancar,por si hacemos algo mal podamos resetear el servidor y poder modificar si nos hemos equivocado.
Ahora vamos a input y le damos a añadir regla:
Debes estar registrado para ver las imágenes
En rule comment ponemos lo q queramos para saber q regla es,le damos a aceptar y seleccionamos la interfaz eth0 ( igual a = seleccionar).
Tiene q quedar claro q IGUAL A es seleccionar
Debes estar registrado para ver las imágenes
ahora bajamos la barra hacia abajo y seleccionamos lo siguiente y le damos a crear:
Debes estar registrado para ver las imágenes
seleccionamos estados de conexiones ( igual a) y ticamos conexión existente y pulsando control ticamos en relacionado con existente y le damos a crear
Debes estar registrado para ver las imágenes
ya tenemos nuestra primera regla creada dicha regla es muy importante porque sin esta regla nadie podra conectar a nuestro multis ni recibir ninguna ecm.
Añadimos la siguiente regla:
Debes estar registrado para ver las imágenes
aceptamos a nuestro localhost y le damos a crear.
siguiente regla:
Permitimos conexión a nuestras ip o dominios por ssh,en este caso tengo el 22 pero por mayor seguridad antes de crear esta regla mejor cambiarlo por otro
Debes estar registrado para ver las imágenes
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
una vez q hayamos permitido el puerto a las ip o dominios q queramos lo cerramos para el resto de la gente
Debes estar registrado para ver las imágenes
siguiente regla:
permitimos conexiones a nuestro webmin
Debes estar registrado para ver las imágenes
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
cerramos conexiones para el resto de la gente a nuestro webmin
Debes estar registrado para ver las imágenes
si os dais cuenta los procesos siempre son los mismos aceptar y denegar
siguiente regla:
permitimos conexiones a nuestra pagina de login de multics
Debes estar registrado para ver las imágenes
este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
lo cerramos para el resto
Debes estar registrado para ver las imágenes
hasta aqui seria todo igual para todos (también haríamos lo mismo con nuestro port de login de oscam,mysql ect..) , pero ahora nos encontramos 2 formas de seguir haciéndolo:
1ªformula es la menos coñazo
abrimos puertos de nuestros profiles newcamd:
Debes estar registrado para ver las imágenes
como veis he abierto un rango puertos,también se podría abrir puerto a puerto
siguiente regla:
abrimos puertos de nuestra cache
Debes estar registrado para ver las imágenes
Debes estar registrado para ver las imágenes
como veis para cache abrimos tanto tcp como udp,hariamos lo mismo con todos nuestros demás puertos,cccam,mgcamd con los puertos de nuestro oscam ect..recordando siempre q para cache y cache-ex hay q abrir tanto tcp como udp.Una vez q hayamos abierto todos los puertos q estemos usando cerramos todos los demás y así solo quedaran abiertos los especificados en las anteriores reglas:
Debes estar registrado para ver las imágenes
una vez cerrados los puertos restantes vamos a protegernos contra diversos ataques,para ello creamos una nueva cadena llamada flood
Debes estar registrado para ver las imágenes
ahora añadimos reglas en la nueva cadena creada
Debes estar registrado para ver las imágenes
vamos a bloquear un tipo de scaneo ya desfasado aunque todavía se utiliza para ataques ddos,aunque en teoría no nos haria falta ya q hemos denegado el acceso a nuestras paginas http de multics,oscam ect..pero por si acaso lo ponemos:
Debes estar registrado para ver las imágenes
bajamos la barra hacia abajo
Debes estar registrado para ver las imágenes
seleccionamos lo q esta en rojo y le damos a crear
siguiente regla:
Debes estar registrado para ver las imágenes
bajamos la barra hacia abajo y lo mismo
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
si ha ido todo bien quedara así:
Debes estar registrado para ver las imágenes
Como sabemos en algunos tipos de escaneos se pueden falsear los flags tcp y asi traspasar el firewall para protegernos de eso creamos la siguiente cadena llamada PKT_FAKE
Debes estar registrado para ver las imágenes
nos vamos a la nueva cadena creada
Debes estar registrado para ver las imágenes
y ahora creamos las siguientes reglas:
Debes estar registrado para ver las imágenes
bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear:
Debes estar registrado para ver las imágenes
cuidado en el apartado flags tcp establecidos hay q seleccionar distinto de
y ahora seguimos con la siguiente regla:
Debes estar registrado para ver las imágenes
una vez seleccionado todo damos a crear quedando así:
Debes estar registrado para ver las imágenes
ahora creamos otra regla llamada FLAG_SCAN,la cual sirve para descartar paquetes tcp q no son correctos:
Debes estar registrado para ver las imágenes
ahora empezamos a añadir reglas en la nueva cadena creada
Debes estar registrado para ver las imágenes
descartar paquetes tcp q no son correctos
Debes estar registrado para ver las imágenes
siguiente regla
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
siguiente regla:
Debes estar registrado para ver las imágenes
bueno ya tendriamos nuestro firewall configurado, ahora le damos a aplicar configuracion
Debes estar registrado para ver las imágenes
ahora probamos nuestro multics,oscam,ssh y si todo va bien le damos a activar al arrancar y volvemos a aplicar la configuración.
y para no volver a hacerlo cada vez q cambiamos de servidor pues entramos por ssh en etc y copiamos el archivo iptables.up.rules y cuando instalamos webmin en otro server ponemos el archivo.
aqui un resultado de nmap:
Debes estar registrado para ver las imágenes
pues de esto se trata de no dejar ningún puerto al descubierto.
Con esto notareis mejor estabilidad en vuestros servidores, y para casa os aconsejo una raspberry q no chupa tanta luz.
Otra forma de hacerlo seria con el firewall q viene por defecto en linux :
abrimos el server con putty citamos:
touch iptables-script.sh
Debes estar registrado para ver las imágenes
le damos permisos 755
chmod 755 iptables-script.sh
Debes estar registrado para ver las imágenes
Ahora lo abrimos con cualquier editor de texto, por ejemplo nano:
nano iptables-script.sh
Debes estar registrado para ver las imágenes
copiamos el script q os voy a dejar abajo,lo único que tenéis q modificar son los puertos y las ip y añadir si usais algo q no este en el script,quedando asi:
Debes estar registrado para ver las imágenes
una vez hayamos modificado el script con nuestros puertos,ip y dominios guardamos el archivo y lo ejecutamos:
./iptables-script.sh
Debes estar registrado para ver las imágenes
comprobamos q todo funciona correctamente y una vez q esta todo correcto ponemos la ruta del iptables-script.sh en /etc/rc.local para q la cargue al iniciar el sistema:
Debes estar registrado para ver las imágenes
el archivo se crea en root,pero podemos ponerlo donde queramos y así quedaría el archivo rclocal:
Debes estar registrado para ver las imágenes
y si después de todo esto nos zumba y instalamos webmin pues cuando vamos al cortafuegos de webmin podremos tambien cargar dichas reglas pero debéis de tener cuidado porque el cortafuegos de webmin no os cargara los dominios aceptado solo os cargara las ip asociadas a esos dominios q por supuesto tb podremos modificar dichas ip por los dominios en /etc/iptables.up.rules
tenéis q tener en cuenta q cuando queramos abrir cualquier puerto de nuestro multics tenemos q abrirlo también en nuestro webmin o firewall linux y siempre esa regla del puerto q queramos abrir debe de estar antes de la regla q cerramos todos los demas puertos,con webmin al crear la regla tendríamos q ir moviendola hacia arriba (proceso lento y aburrido) o bien lo hacemos por ssh q seria mejor y mas rapido en /etc/iptables.up.rules
y con el firewall de linux citaríamos
nano iptables-script.sh
pondríamos la nueva regla del puerto q queramos abrir,guardamos y reiniciamos
script iptables
Debes estar registrado para ver los enlaces
también hay otra forma de hacerlo todo por dominios,de esa forma solo tendrían acceso a los puertos q queramos con quien compartimos,pero ya asi jodemos bastante a las paginitas de hackercitos q se dedican a poner nuestras ip y puertos abiertos.
Gracias al compañero campoy buen manual.