Uno de los aspectos que mucha gente olvida, es la de securizar su servidor.
Aparte de dormir tranquilo cada noche, conseguirás reducir el consumo de tu servidor evitando conexiones a puertos no deseados, escaneo de puertos, y ahorro de ancho de banda.

Que necesitas:

• Un servidor linux
• Acceso por consola SSH

Desde hace años uso un firewall llamado APF (Advanced Policy Firewall) está muy extendido en la comunidad linux, se basa en iptables (como casi todos) y es fácil de entender y configurar, por defecto viene con un subset de reglas para echar a andar.

Si quereis leer más acerca del firewall podeis verlo aquí:
Advanced Policy Firewall | R-fx Networks

Ok, vamos a instalarlo:

1. Accede a tu máquina como root

2. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

3. tar -xvzf apf-current.tar.gz

4. cd apf-0.9.7/ o la versión que hayas descargado

5. Ejecuta el archivo install que lo hace todo:./install.sh



Verás algo parecido a esto cuando esté instalado

Installing APF 0.9.7: Completed.
Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.


6. Ahora vamos a configurar ahora los puertos que necesitamos.

vi /etc/apf/conf.apf

No está demás usar la lista de bloqueos de DShield.org's , es una especie de lista donde se recogen IP's de redes que han mostrado actividad sospechosa.

Busca: USE_DS="0"
Cambialo a: USE_DS="1"

7. Vamos a configurar los puertos que queremos abrir y cerrar

Para Paneles de control cPanel
Este es lo que suelo usar en servidores qeu tienen cPanel

Common ingress (inbound) ports
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500"

IG_UDP_CPORTS="53"

Common egress (outbound) ports
EGF="1"
EG_TCP_CPORTS="21,25,80,443,43,2089"

EG_UDP_CPORTS="20,21,53"

Para Paneles de control Plesk
Este es lo que suelo usar en servidores qeu tienen Plesk

Common ingress (inbound) ports
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,8443"

IG_UDP_CPORTS="37,53,873"

Common egress (outbound) ports
EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465 ,873,5224"

EG_UDP_CPORTS="53,873" 8. Arrancamos el firewall
/etc/init.d/apf start

9. Cuando vemos que todo funciona ok, tenemos que cambiar del DEV MODE a el modo definitivo, el firewall por defecto viene con DEVM=1 esto es por si metes la pata, el firewall acciona las reglas cada 5 minutos y luego las borra para en caso de haberla pifiado puedas volver a entrar a tu máquina

vi /etc/apf/conf.apf

Busca: DEVM="1"
Cambia a: DEVM="0"


Se acabó, disfruta y duerme tranquilo a partir de ahora.

@Chincheta please !