2007/3/16, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-03-16 a las 11:38 -0400, javier rojas escribió:
Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver
si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli...
estaba revisando en internet y consegui esto para iptables
iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP
para direcciones multiples
iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP
¿Porqué te complicas la vida? El cortafuegos que trae la distro, el susefirewall2, corta todo el tráfico entrante si le dices que la interfaz es externa (la interna es más permisiva).
Lo que se hace es abrir lo que se necesite, por defecto está todo cerrado... y como quieres abrirlo sólo si procede desde cierta IP, pues tienes que usar "FW_TRUSTED_NETS".
mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306?
Prueba. Si no funciona y ves en el log peticiones entrantes desde el webserver, es que te hacen falta más.
sinceramente a manera personal no me convence mucho el firewall de suse, aparte estoy utilizando sles9 y no se parece para nada al firewall de 10.2.... que les parece tcpwrappers, estaba pensando en: hosts.deny// ALL: ALL@ALL, PARANOID hosts.allow// sshd: all ftpd: all httpd: all https: all de eta manera solo permitiria http, https, ssh y ftp que les parece? -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org