Artigos, Centos, Debian, Fedora, Linux, MySQL, openSUSE, Redhat, Segurança, Ubuntu, WebArtigo > Restringindo tráfego via Iptables para servidores Web

Artigo > Restringindo tráfego via Iptables para servidores Web

Restringindo tráfego via Iptables para servidores Web

Servidores “de cara para a Internet” sempre serão prováveis alvos de ataques. Ataques esses de todos os tipos, de DoS à brute force passando pelo uso de exploits.

A “cartilha das boas práticas” nos diz para não rodar serviços desnecessários, pois esses abrem portas desnecessárias e criam um meio a mais para exploração do sistema.

Além dos cuidados básicos como o já mencionado, ter um firewall bem configurado é essencial para manter seu ambiente seguro.

Neste artigo veremos algumas regras básicas de firewall para servidores Web.

Observações

São apenas duas observações:

1 – As regras mencionadas abaixo são liberações baseadas em portas de serviços. Por isso, para ter o efeito desejado, antes é preciso bloquear totalmente o tráfego da porta para somente depois aplicar a regra. Muita atenção quando falarmos de SSH Se você tem um servidor remoto e bloquear a porta 22 do SSH, perderá esse acesso.

2 – Lembrando também que essas regras, se executadas diretamente no shell, serão gravadas apenas em memória. Quando o serviço Iptables ou o servidor forem reiniciados, as regras serão perdidas. Para evitar isso, é preciso salvar essas regras na configuração do Iptables (ex: /etc/iptables/rules ou /etc/sysconfig/iptables).

Tráfego Web (Portas 80 e 443)

Permite tráfego HTTP de entrada e saída (porta 80 e 443)

Permite tráfego HTTPS de entrada e saída (porta 443)

Permite tráfego de entrada para balanceamento de carga com tráfego HTTPS

Tráfego SSH

Permite tráfego de entrada e saída para SSH

Permite tráfego de entrada e saída via SSH para uma rede específica de origem

MultiPort

MultiPorts (Permite tráfego de entrada/saída para/de SSH, HTTP, e HTTPS)

Ping

Permite o ping de dentro pra fora

Permite o ping de fora pra dentro

E-mail

Permite tráfego para envio de mensagens (Sendmail, Postfix, etc).

Permite tráfego IMAP e IMAPS

Permite tráfego POP3 e POP3S

MySQL

Permite conexões ao MySQL para uma rede de específica de origem

Diversos

Bloqueia um IP específico

Permite acesso ao loopback

Permite forward de pacotes de rede interna para outra rede com acesso externo

Exemplo:

Neste caso, a eth0 está conectada em uma rede interna. Já a ETH1 tem saída pra Internet. O forward deste exemplo direciona o tráfego da eth0 pra eth1.

Permite tráfego de saída e entrada para DNS (porta 53 protocolo UDP)

Permite rsync (via daemon) de uma rede de origem específica

Permite rsync (via daemon) para uma rede de destino específica

Previne ataques DoS limitando o número de conexões a 100

Port forwarding da porta 422 para 22

Loga pacotes dropados

Categories: Artigos, Centos, Debian, Fedora, Linux, MySQL, openSUSE, Redhat, Segurança, Ubuntu, Web Tags: , , , , , , , , , , , ,

Comments

No Comments Yet. Be the first?

Post a comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.