[opensuse-es] informacion sobre iptables

older
Re: [opensuse-es] [OT] Como puedo...

javier rojas

16 Mar 2007 16 Mar '07

15:38

Buenos dias amigos, tengo una aplicacion montada en dos servidores, uno es el webserver (apache) con la aplicacion como tal (php), y el otro tiene la base de datos (mysql) de esa aplicacion. Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli... estaba revisando en internet y consegui esto para iptables iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP para direcciones multiples iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306? -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Show replies by date

Victor Hugo dos Santos

16 Mar 16 Mar

18:07

El 16/03/07, javier rojas escribió:

...

Buenos dias amigos,

tengo una aplicacion montada en dos servidores, uno es el webserver (apache) con la aplicacion como tal (php), y el otro tiene la base de datos (mysql) de esa aplicacion.

Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver

si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli...

estaba revisando en internet y consegui esto para iptables

iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP

estas malo !!!! el correcto es denegar todo el acceso y permitir solamente el estrictamente necesario.... por ejemplo: iptables -P INPUT DROP iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT esto es asi, para bloquear acceso a los demas servicios que puedas tener en la maquina (web, nfs, cups, etc). ojo... hay una serie de otras reglas adicionales para que la maquina pueda se comunicar correctamente.. y no es solamente estas dos lineas que envio como ejemplo.

...

para direcciones multiples

iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT

esto esta mejor.. pero como le digo es preferible utilizar la politica por defecto en DROP.

...

iptables -A INPUT -p tcp --dport 22 -j DROP

mmm.. esta es redundante !!! no sirvira para nada.

...

mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306?

nooo obs: busca en internet por "iptables en 21 segundos" es un manual bueno y como indica el nombre, rapido !!! tambien puede leer el otro documento del mismo autor que explica iptables mas detalladamente. salu2, -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

javier rojas

18:16

2007/3/16, Victor Hugo dos Santos :

...

El 16/03/07, javier rojas escribió:

...
Buenos dias amigos,

tengo una aplicacion montada en dos servidores, uno es el webserver (apache) con la aplicacion como tal (php), y el otro tiene la base de datos (mysql) de esa aplicacion.

Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver

si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli...

estaba revisando en internet y consegui esto para iptables

iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP

estas malo !!!!

el correcto es denegar todo el acceso y permitir solamente el estrictamente necesario....

por ejemplo:

iptables -P INPUT DROP iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT

esto es asi, para bloquear acceso a los demas servicios que puedas tener en la maquina (web, nfs, cups, etc).

ojo... hay una serie de otras reglas adicionales para que la maquina pueda se comunicar correctamente.. y no es solamente estas dos lineas que envio como ejemplo.

...
para direcciones multiples

iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT

esto esta mejor.. pero como le digo es preferible utilizar la politica por defecto en DROP.

...
iptables -A INPUT -p tcp --dport 22 -j DROP

mmm.. esta es redundante !!! no sirvira para nada.

...
mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306?

nooo

obs: busca en internet por "iptables en 21 segundos" es un manual bueno y como indica el nombre, rapido !!! tambien puede leer el otro documento del mismo autor que explica iptables mas detalladamente.

excelente link, voy por los dos manuales....:) -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Carlos E. R.

18:38

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-16 a las 11:38 -0400, javier rojas escribió:

...

Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver

si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli...

estaba revisando en internet y consegui esto para iptables

iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP

para direcciones multiples

iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP

¿Porqué te complicas la vida? El cortafuegos que trae la distro, el susefirewall2, corta todo el tráfico entrante si le dices que la interfaz es externa (la interna es más permisiva). Lo que se hace es abrir lo que se necesite, por defecto está todo cerrado... y como quieres abrirlo sólo si procede desde cierta IP, pues tienes que usar "FW_TRUSTED_NETS".

...

mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306?

Prueba. Si no funciona y ves en el log peticiones entrantes desde el webserver, es que te hacen falta más. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF+uQ3tTMYHG2NR9URAuRVAJ9cfLB9DB0FiHIhsnh/3yEO62sySwCdE0DH 7iBNonwxnLGBBaK7yEcjRgI= =+UxG -----END PGP SIGNATURE-----

javier rojas

21 Mar 21 Mar