MultiCS & IPTV Foro

Este es un ejemplo de mensaje de invitado. ¡Registre una cuenta gratuita hoy para convertirse en miembro! Una vez que haya iniciado sesión, podrá participar en este sitio agregando sus propios temas y publicaciones, así como conectarse con otros miembros a través de su propia bandeja de entrada privada.

firewall multics con webmin

caphowdy

Capitán Howdy
Administrador
Registrado
19 Dic 2014
Mensajes
1.103
Reacciones
1.243
partimos de la base de q tenemos webmin instalado.
lo primero de todo es cambiar el puerto de webmin,para eso en el menú q nos aparece a la izquierda ticamos en webmin y después en configuración de webmin,una vez alli nos aparecerá una imagen como esta:
Debes estar registrado para ver las imágenes


una vez aqui le damos a puertos y direcciones:
Debes estar registrado para ver las imágenes


una vez cambiado el puerto por el q queramos le damos a salvar.
Abrimos webmin en nuestro nuevo puerto y de nuevo vamos a la configuración de webmin,una vez alli ahora vamos a control de acceso a ip:
Debes estar registrado para ver las imágenes


ticamos en solo permitir desde las direcciones listadas y ahi ponemos las direcciones q vamos a permitir entrar a nuestro webmin (las direcciones siempre una debajo de otra,todas las q querais permitir)si tenéis dinámica como yo pues ponéis el dyndns de casa,una vez puestas las ip le damos a salvar y regresamos a configuracion de webmin y entramos en autentificacion:
Debes estar registrado para ver las imágenes


como no sabemos nunca con quien podemos dar,ni sabemos si el hacker es capaz de burlar el firewall pues activamos las siguientes casillas para mas seguridad:
password timeouts = activado.
failed login blocks = bloquear maquinas con mas de (nº de intentos q queramos)login fallidos durante(el tiempo q queramos)segundos.
block user with more than (nº de login q queramos)failed login for (el tiempo q queramos)seconds.
Also lock users with failed login = tambien podemos activar esta casilla pero si por casualidad al logearnos nos equivocamos pues nos bloqueara directamente y depolvida hasta q reiniciemos.
log failetures to syslog = si, asi podremos ver quien se logea y si alguien excepto quien permitamos a tenido ese placer.
Con eso creo q es suficiente lo demás podéis dejarlo como viene por defecto o bien configurarlo según vuestros intereses.
Ahora en el menú de la izquierda le damos a red y cortafuegos linux y vamos a empezar a crear nuestro firewall,esto es un ejemplo básico q he creado para usuarios q usamos multics,oscam ect..pero antes vamos a familiarizarnos un poco maso menos con lo q es cada cosa:
Paquetes entrantes (INPUT) para trafico entrante
Paquetes redirigidos (FORWARD) para trafico reenviado
Paquetes salientes (OUTPUT) para trafico saliente
-i define una interfaz de trafico entrante
-j establece una regla de destino del trafico,que puede ser:
ACCEPT = aceptar
DROP = descartar conexiones
REJECT = rechazar conexiones
--state información relativa al estado de conexión,q puede ser:
NEW = Intenta crear una nueva conexión
ESTABLISHED = El paquete forma parte de una conexión ya existente
RELATED = El paquete esta relacionado, aunque realmente no forma parte de una conexión existente
INVALID = El paquete ni es parte de una conexión existente ni intenta crear una nueva conexión
Como veis no he profundizado mucho pero con estos datos es suficiente para hacer nuestro firewall y empezar a comprender lo q estamos haciendo sin ser ningún profesional.Este tutorial q voy a presentar esta basado solo para gente q use multics y oscam en un vps o servidor dedicado pero comprendiendo un poco podéis usarlo para montarlo también en vuestra casa,q lo único q cambiaría seria q contamos con ip internas:
en webmin en el menu de la izquierda le damos a red y después a cortafuegos linux
Debes estar registrado para ver las imágenes


le damos a permitir todo el trafico y a configurar firewall,de momento no lo habilitamos al arrancar,por si hacemos algo mal podamos resetear el servidor y poder modificar si nos hemos equivocado.
Ahora vamos a input y le damos a añadir regla:
Debes estar registrado para ver las imágenes


En rule comment ponemos lo q queramos para saber q regla es,le damos a aceptar y seleccionamos la interfaz eth0 ( igual a = seleccionar).
Tiene q quedar claro q IGUAL A es seleccionar
Debes estar registrado para ver las imágenes


ahora bajamos la barra hacia abajo y seleccionamos lo siguiente y le damos a crear:
Debes estar registrado para ver las imágenes


seleccionamos estados de conexiones ( igual a) y ticamos conexión existente y pulsando control ticamos en relacionado con existente y le damos a crear
Debes estar registrado para ver las imágenes


ya tenemos nuestra primera regla creada dicha regla es muy importante porque sin esta regla nadie podra conectar a nuestro multis ni recibir ninguna ecm.
Añadimos la siguiente regla:
Debes estar registrado para ver las imágenes


aceptamos a nuestro localhost y le damos a crear.
siguiente regla:
Permitimos conexión a nuestras ip o dominios por ssh,en este caso tengo el 22 pero por mayor seguridad antes de crear esta regla mejor cambiarlo por otro
Debes estar registrado para ver las imágenes


este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
una vez q hayamos permitido el puerto a las ip o dominios q queramos lo cerramos para el resto de la gente
Debes estar registrado para ver las imágenes



siguiente regla:
permitimos conexiones a nuestro webmin
Debes estar registrado para ver las imágenes


este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
cerramos conexiones para el resto de la gente a nuestro webmin
Debes estar registrado para ver las imágenes


si os dais cuenta los procesos siempre son los mismos aceptar y denegar
siguiente regla:
permitimos conexiones a nuestra pagina de login de multics
Debes estar registrado para ver las imágenes


este proceso lo repetiremos 1 vez por cada ip o dominio q queramos añadir
siguiente regla:
lo cerramos para el resto
Debes estar registrado para ver las imágenes



hasta aqui seria todo igual para todos (también haríamos lo mismo con nuestro port de login de oscam,mysql ect..) , pero ahora nos encontramos 2 formas de seguir haciéndolo:
1ªformula es la menos coñazo
abrimos puertos de nuestros profiles newcamd:
Debes estar registrado para ver las imágenes


como veis he abierto un rango puertos,también se podría abrir puerto a puerto
siguiente regla:
abrimos puertos de nuestra cache
Debes estar registrado para ver las imágenes


Debes estar registrado para ver las imágenes


como veis para cache abrimos tanto tcp como udp,hariamos lo mismo con todos nuestros demás puertos,cccam,mgcamd con los puertos de nuestro oscam ect..recordando siempre q para cache y cache-ex hay q abrir tanto tcp como udp.Una vez q hayamos abierto todos los puertos q estemos usando cerramos todos los demás y así solo quedaran abiertos los especificados en las anteriores reglas:
Debes estar registrado para ver las imágenes


una vez cerrados los puertos restantes vamos a protegernos contra diversos ataques,para ello creamos una nueva cadena llamada flood
Debes estar registrado para ver las imágenes


ahora añadimos reglas en la nueva cadena creada
Debes estar registrado para ver las imágenes


vamos a bloquear un tipo de scaneo ya desfasado aunque todavía se utiliza para ataques ddos,aunque en teoría no nos haria falta ya q hemos denegado el acceso a nuestras paginas http de multics,oscam ect..pero por si acaso lo ponemos:
Debes estar registrado para ver las imágenes


bajamos la barra hacia abajo
Debes estar registrado para ver las imágenes


seleccionamos lo q esta en rojo y le damos a crear
siguiente regla:
Debes estar registrado para ver las imágenes


bajamos la barra hacia abajo y lo mismo
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


si ha ido todo bien quedara así:
Debes estar registrado para ver las imágenes


Como sabemos en algunos tipos de escaneos se pueden falsear los flags tcp y asi traspasar el firewall para protegernos de eso creamos la siguiente cadena llamada PKT_FAKE
Debes estar registrado para ver las imágenes


nos vamos a la nueva cadena creada
Debes estar registrado para ver las imágenes


y ahora creamos las siguientes reglas:
Debes estar registrado para ver las imágenes


bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


bajamos la barra hacia abajo,seleccionamos lo siguiente y le damos a crear:
Debes estar registrado para ver las imágenes


cuidado en el apartado flags tcp establecidos hay q seleccionar distinto de
y ahora seguimos con la siguiente regla:
Debes estar registrado para ver las imágenes


una vez seleccionado todo damos a crear quedando así:
Debes estar registrado para ver las imágenes


ahora creamos otra regla llamada FLAG_SCAN,la cual sirve para descartar paquetes tcp q no son correctos:
Debes estar registrado para ver las imágenes


ahora empezamos a añadir reglas en la nueva cadena creada
Debes estar registrado para ver las imágenes


descartar paquetes tcp q no son correctos
Debes estar registrado para ver las imágenes


siguiente regla
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


siguiente regla:
Debes estar registrado para ver las imágenes


bueno ya tendriamos nuestro firewall configurado, ahora le damos a aplicar configuracion
Debes estar registrado para ver las imágenes


ahora probamos nuestro multics,oscam,ssh y si todo va bien le damos a activar al arrancar y volvemos a aplicar la configuración.
y para no volver a hacerlo cada vez q cambiamos de servidor pues entramos por ssh en etc y copiamos el archivo iptables.up.rules y cuando instalamos webmin en otro server ponemos el archivo.
aqui un resultado de nmap:
Debes estar registrado para ver las imágenes


pues de esto se trata de no dejar ningún puerto al descubierto.
Con esto notareis mejor estabilidad en vuestros servidores, y para casa os aconsejo una raspberry q no chupa tanta luz.
Otra forma de hacerlo seria con el firewall q viene por defecto en linux :
abrimos el server con putty citamos:
touch iptables-script.sh
Debes estar registrado para ver las imágenes


le damos permisos 755
chmod 755 iptables-script.sh
Debes estar registrado para ver las imágenes



Ahora lo abrimos con cualquier editor de texto, por ejemplo nano:
nano iptables-script.sh
Debes estar registrado para ver las imágenes


copiamos el script q os voy a dejar abajo,lo único que tenéis q modificar son los puertos y las ip y añadir si usais algo q no este en el script,quedando asi:
Debes estar registrado para ver las imágenes


una vez hayamos modificado el script con nuestros puertos,ip y dominios guardamos el archivo y lo ejecutamos:
./iptables-script.sh
Debes estar registrado para ver las imágenes


comprobamos q todo funciona correctamente y una vez q esta todo correcto ponemos la ruta del iptables-script.sh en /etc/rc.local para q la cargue al iniciar el sistema:
Debes estar registrado para ver las imágenes


el archivo se crea en root,pero podemos ponerlo donde queramos y así quedaría el archivo rclocal:
Debes estar registrado para ver las imágenes


y si después de todo esto nos zumba y instalamos webmin pues cuando vamos al cortafuegos de webmin podremos tambien cargar dichas reglas pero debéis de tener cuidado porque el cortafuegos de webmin no os cargara los dominios aceptado solo os cargara las ip asociadas a esos dominios q por supuesto tb podremos modificar dichas ip por los dominios en /etc/iptables.up.rules
tenéis q tener en cuenta q cuando queramos abrir cualquier puerto de nuestro multics tenemos q abrirlo también en nuestro webmin o firewall linux y siempre esa regla del puerto q queramos abrir debe de estar antes de la regla q cerramos todos los demas puertos,con webmin al crear la regla tendríamos q ir moviendola hacia arriba (proceso lento y aburrido) o bien lo hacemos por ssh q seria mejor y mas rapido en /etc/iptables.up.rules
y con el firewall de linux citaríamos
nano iptables-script.sh
pondríamos la nueva regla del puerto q queramos abrir,guardamos y reiniciamos
script iptables

también hay otra forma de hacerlo todo por dominios,de esa forma solo tendrían acceso a los puertos q queramos con quien compartimos,pero ya asi jodemos bastante a las paginitas de hackercitos q se dedican a poner nuestras ip y puertos abiertos.

Gracias al compañero campoy buen manual.
 

lolo

Baneado
Baneado
Usuario
Usuario Premium
Registrado
11 Oct 2015
Mensajes
1.208
Reacciones
372
Ubicación
Perdido en los bares
Pais
Spain.GIF
Debe iniciar sesión o registrarse para ver esta respuesta.
 

molini

Usuario MultiCS
Usuario
Usuario Premium
Registrado
9 Sep 2014
Mensajes
7
Reacciones
2
Debe iniciar sesión o registrarse para ver esta respuesta.
 

chivu

Usuario MultiCS
Usuario
Usuario Premium
Registrado
25 Ene 2019
Mensajes
74
Reacciones
25
Debe iniciar sesión o registrarse para ver esta respuesta.
 

empaket

Usuario Vip
Vip
Usuario Premium
Registrado
4 Mar 2019
Mensajes
557
Reacciones
715
Ubicación
sevilla
Pais
Spain.GIF
Debe iniciar sesión o registrarse para ver esta respuesta.
 

chivu

Usuario MultiCS
Usuario
Usuario Premium
Registrado
25 Ene 2019
Mensajes
74
Reacciones
25
Debe iniciar sesión o registrarse para ver esta respuesta.
 

caphowdy

Capitán Howdy
Administrador
Registrado
19 Dic 2014
Mensajes
1.103
Reacciones
1.243
Debe iniciar sesión o registrarse para ver esta respuesta.
 

PAPP

Usuario Vip
Vip
Usuario Premium
Registrado
2 Jun 2016
Mensajes
166
Reacciones
165
Ubicación
El mundo
Pais
Spain.GIF
Debe iniciar sesión o registrarse para ver esta respuesta.
 

caphowdy

Capitán Howdy
Administrador
Registrado
19 Dic 2014
Mensajes
1.103
Reacciones
1.243
Debe iniciar sesión o registrarse para ver esta respuesta.
 

PAPP

Usuario Vip
Vip
Usuario Premium
Registrado
2 Jun 2016
Mensajes
166
Reacciones
165
Ubicación
El mundo
Pais
Spain.GIF
Debe iniciar sesión o registrarse para ver esta respuesta.
 
Arriba Pie
AdBlock Detectado

Lo entendemos, los anuncios son molestos!

Pero debe usted entender que la pagina web funciona bien gracias a la publicidad no dude en hacer click en los anuncios ayuda en todo el mantenimiento de la pagina web. Para obtener la mejor experiencia en el sitio, desactive su AdBlocker.

He desactivado AdBlock    No Gracias