Continuando con esta serie de artículos sobre configuración de ConfigServer Security & Firewall (CSF) hoy vamos a agregar un nivel de seguridad mas a ciertos puertos.
Hay casos de ciertos puertos de nuestro servidor solo utilizaremos nosotros y deseamos restringir el acceso al resto de internet, en mi caso por ejemplo no tiene sentido tener los puertos 8080 (ISPConfig), el 10000 (Webmin) e incluso el puerto 21 (FTP) ya que todos ellos solo los utilizo yo asi que vamos a bloquearlos, no incluyo ssh debido a que ya lo protegí mediante golpeo de puertos en este articulo anterior llamado Knock/Knocking o Golpeo de Puertos con CSF.
Para realizar esto necesitamos una ip fija, ya sea de nuestra conexión a internet o al menos una ip de algun provedor VPN, en el caso de este ultimo en realidad los puertos también estarían abiertos para el resto de los usuarios del servicio VPN, aunque no es lo ideal al menos reduce significativamente los riesgos a tenerlo abierto a todo internet.
Lo primero que debemos hacer es ir al archivo /etc/csf/csf.conf
#Buscamos la linea TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,8080,10000" #Quitamos los puertos 20,21,8080 y 10000 TCP_IN = "22,25,53,80,110,143,443,465,587,993,995" #Guardamos y salimos
Posteriormente abrimos el archivo /etc/csf/csf.allow para configurar un filtrado avanzado donde XXX.XXX.XXX.XXX es la ip a autorizar, podemos repetir cuantas veces necesitemos este paso para autorizar mas de una ip, simplemente copiamos, pegamos y cambiando la ip
tcp|in|d=21|s=XXX.XXX.XXX.XXX tcp|in|d=8080|s=XXX.XXX.XXX.XXX tcp|in|d=10000|s=XXX.XXX.XXX.XXX
Guardamos, salimos y reiniciamos el firewall mediante
sudo csf -r
Los parametros pueden ser tcp/udp|in/out|s/d=port|s/d=ip
- Protocolo puede ser tcp o udp
- Establecemos si es entrada (in) o salida (out)
- Establecemos si el puerto es de destino (d) u origen (s)
- Establecemos si la ip es de destino (d) u origen (s)
Si probamos acceder a los puertos desde cualquier ip distinta a la que configuramos el servidor no debería responder, solo responderá desde la ip que configuramos.
Administrador de Sistemas, Programador, Docente y ahora resulta que también Blogger (peor es ser tictoker). Más de 20 años de experiencia en computación atendiendo nabos y resolviendo problemas que sino fuera por estos nabos no habrían ocurrido en primer lugar. Escribo más que nada sobre tecnología y herramientas en general además de algunos artículos con opiniones tan subjetivas como irrelevantes, así que si no te gustan mejor madura.