Continuando con esta serie de artículos sobre configuración de ConfigServer Security & Firewall (CSF) hoy vamos a agregar un nivel de seguridad mas a ciertos puertos.

Hay casos de ciertos puertos de nuestro servidor solo utilizaremos nosotros y deseamos restringir el acceso al resto de internet, en mi caso por ejemplo no tiene sentido tener los puertos 8080 (ISPConfig), el 10000 (Webmin) e incluso el puerto 21 (FTP)  ya que todos ellos solo los utilizo yo asi que vamos a bloquearlos, no incluyo ssh debido a que ya lo protegí mediante golpeo de puertos en este articulo anterior llamado Knock/Knocking o Golpeo de Puertos con CSF.

Para realizar esto necesitamos una ip fija, ya sea de nuestra conexión a internet o al menos una ip de algun provedor VPN, en el caso de este ultimo en realidad los puertos también estarían abiertos para el resto de los usuarios del servicio VPN, aunque no es lo ideal al menos reduce significativamente los riesgos a tenerlo abierto a todo internet.

Lo primero que debemos hacer es ir al archivo /etc/csf/csf.conf

#Buscamos la linea
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,8080,10000"
#Quitamos los puertos 20,21,8080 y 10000
TCP_IN = "22,25,53,80,110,143,443,465,587,993,995"
#Guardamos y salimos

Posteriormente abrimos el archivo /etc/csf/csf.allow para configurar un filtrado avanzado donde XXX.XXX.XXX.XXX es la ip a autorizar, podemos repetir cuantas veces necesitemos este paso para autorizar mas de una ip, simplemente copiamos, pegamos y cambiando la ip

tcp|in|d=21|s=XXX.XXX.XXX.XXX
tcp|in|d=8080|s=XXX.XXX.XXX.XXX
tcp|in|d=10000|s=XXX.XXX.XXX.XXX

Guardamos, salimos y reiniciamos el firewall mediante

sudo csf -r

Los parametros pueden ser tcp/udp|in/out|s/d=port|s/d=ip

  • Protocolo puede ser tcp o udp
  • Establecemos si es entrada (in) o salida (out)
  • Establecemos si el puerto es de destino (d) u origen (s)
  • Establecemos si la ip es de destino (d) u origen (s)

Si probamos acceder a los puertos desde cualquier ip distinta a la que configuramos el servidor no debería responder, solo responderá desde la ip que configuramos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *