Accedere al server da ip statico publico

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns e altro.
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Accedere al server da ip statico publico

Messaggio da giuseppe500 »

Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Accedere al server da ip statico publico

Messaggio da DoctorStrange »

Imposti sul server come "policy" della INPUT chain il valore "DENY", poi aggiungi un unica regola che permette su quello stesso server tutto il traffico entrante da quell'unico indirizzo IP. Ma per quale motivo pensi che il tuo server abbia bisogno di queste protezioni? Hai rilevato qualche tentativo di accesso fraudolento?
pachisapiu

Re: Accedere al server da ip statico publico

Messaggio da pachisapiu »

se è un server remoto stai bene attento perchè se qualsiasi cosa andasse storta resti chiuso fuori
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Accedere al server da ip statico publico

Messaggio da Sam9999 »

giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5086111#p5086111][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
Ma il server non ha altri servizi per cui dare accesso agli altri IP?

Certo puoi aprire una o più porte al tuo solo IP o anche a più IP.
-------------
S. @-M.
-------------
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Accedere al server da ip statico publico

Messaggio da Sam9999 »

Se non hai messo su il persistent spariscono, poi dipende hai iptables o FW ?
-------------
S. @-M.
-------------
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Accedere al server da ip statico publico

Messaggio da Stealth »

giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5088120#p5088120][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
Sì, come qualsiasi comando che non scriva un file di configurazione. Se ad es. smonti un disco con umount, ma in fstab è impostato per montarsi, al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

era per ripararmi se per caso mi chiudo fuori dal server.riavvio la macchina e i le configurazioni dei servizi partono perchè sono configurati nei file di configurazione mentre quelle del firewall si perdono.
Nel mio host il riavvio avviene da un sito web posso riavviare quando voglio.
sbaglio qualcosa?che tu hai intuito dalle mie parole?
Grazie intanto Stealth
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Accedere al server da ip statico publico

Messaggio da Sam9999 »

al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao
Io il server lo riavvio ogni aggiornamento della kernel, in quanto era d'obbligo.
Ora con installato "Canonical Livepatch Service" non dovrebbe essere più necessario il riavvio del server per aggiornare la kernel.

Anche se a dire il vero magari ogni tanto succede un qualcosa che blocca e serve il riavvio.

Lui mi pare abbia un desktop, da come chiedeva.
-------------
S. @-M.
-------------
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

no ho un server cloud su un provider di cui non dico il nome
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Accedere al server da ip statico publico

Messaggio da thece »

:ciao:

A meno che non venga installato un pacchetto apposito, se non sbaglio iptables-persistent, oppure venga usata una qualche tecnica equivalente e alternativa, le regole impostate per IPTables NON sopravvivono al reboot dell'host.

Quando si fanno esperimenti con le regole di IPTables e si teme che si possa verificare la possibilità di "chiudersi fuori" dall'host a causa di un qualche errore sulle regole impostate, le best practice suggeriscono di schedulare un job di cron (*) che vada a ripulire tutte le regole impostate ogni N minuti. In questo modo, dopo aver impostato le regole, se il test di connessione all'host dovesse fallire, dopo N minuti si riuscirebbe comunque a riguadagnare l'accesso.


(*) Il job di cron è temporaneo. Una volta affinate le regole di IPTables, il job di cron deve essere disabilitato.


In merito alla richiesta iniziale
Si, ad esempio utilizzando opportune regole per IPTables. Ad esempio:

Codice: Seleziona tutto

#!/bin/bash

IPTABLES="/sbin/iptables"

# INPUT CHAIN

# Block incoming connections from IP address different by AAA.BBB.CCC.DDD
$IPTABLES -A INPUT -i eth0 ! -s AAA.BBB.CCC.DDD -m conntrack --ctstate NEW -j DROP

# Allow incoming SSH connections
$IPTABLES -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -j DROP

# FORWARD CHAIN

$IPTABLES -A FORWARD -j DROP

exit 0
Le precedenti regole di IPTables (in breve):

- bloccano tutte le connessioni in ingresso provenienti da indirizzi IP diversi da AAA.BBB.CCC.DDD
- permettono le connessioni in ingresso per SSH (se l'indirizzo l'indirizzo IP sorgente è uguale a AAA.BBB.CCC.DDD)
- bloccano tutte le connessioni in ingresso per i servizi diversi da SSH
- permettono tutte le connessioni in uscita

Se la tua intenzione è quella di rendere il tuo server irraggiungibile da chiunque tranne che da te ... si, è un modo.
Ultima modifica di thece il venerdì 19 ottobre 2018, 23:57, modificato 5 volte in totale.
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?su questo sito?perche ho cercato su google e ho trovato tonnellate di risultati che spiegano le best pratice per cui ok se c è una sezione su ubuntu.it mi piacerebbe saperlo
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Accedere al server da ip statico publico

Messaggio da thece »

No. L'avevo letto su un qualche tutorial per IPTables, ma non ricordo quale.
shouldes
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 19490
Iscrizione: domenica 10 febbraio 2008, 21:45

Re: Accedere al server da ip statico publico

Messaggio da shouldes »

Questo thread si poteva risolvere con un solo post: https://wiki.ubuntu-it.org/Sicurezza/Ufw
UFW è appunto per chi non è tanto pratico e le regole sono persistenti.
L'unica cosa che proprio non mi gusta della guida è che andrei a eliminarle proprio le righe della sezione Ping invece di modificarle in DROP, poi modificherei /etc/default/ufw per lavorare su IPT_SYSCTL=/etc/sysctl.conf (pulendo tutto e creando un solo simbolico /etc/sysctl.d/99-sysctl.conf) invece che su quello UFW.
Ma visto che ha una preparazione base base, già inizia con la guida e poi chiede, perché ce n'è pulizia da fare nei vari after/before rules e in Italia anche la disattivazione totale di IPv6 per snellire ancora di più il tutto.

Ma intanto parte con 3-4 semplici comandi della guida, poi se chiede cose più avanzata si vedrà.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Accedere al server da ip statico publico

Messaggio da Stealth »

Diciamo che trattandosi di server sarebbe meglio capire cosa si sta facendo. Se fosse mio lo imposterei per accettare il mio IP, eventuali connessioni stabilite o relative (per consentire gli aggiornamenti ad es.), ma non le nuove, e poi droppare tutto il resto. In fondo sono 2 o 3 righe e le capisci solo a guardarle
ciao
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Accedere al server da ip statico publico

Messaggio da Sam9999 »

Non ho capito a che serve questo server ?

Se lo rendi irraggiungibile da altri su tutte le porte, serve come file server solo per te?
-------------
S. @-M.
-------------
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Accedere al server da ip statico publico

Messaggio da Sam9999 »

giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5091470#p5091470][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
1) si puo' abilitando in iptables solo il tuo ip su ssh.
2) abiliti tutti gli IP su http ed https sempre in iptables.
3) basta non installare vsftpd oppure non aprire la porta 21
4) per entrare su sftp si usa la stessa porta di ssh.
Io entro in ssh su una porta non standard la puoi settare nella configurazione in /etc/ssh oppure lasciare la 22 (per comodità magari da ip interni) ed esternamente apri una porta qualsiasi che punta poi alla 22.

Per come fare.. è semplice.... poi magari riesco a darti le linee da mettere in IPtables, intanto potresti postare il tuo iptables, dando il comando "sudo iptables-save > file.save" salvi tutto e poi lo editi e lo posti.

Nel frattempo c'è anche la guida per i settaggi iptables

Così al volo:
Consentire l'ingresso su porte specifiche

Codice: Seleziona tutto


sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
Queste righe abilitano l'accesso sulla 80 (http) 443 (https) e 22 (ssh)

Ma non è sufficiente come configurazione.
-------------
S. @-M.
-------------
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 470
Iscrizione: martedì 22 maggio 2012, 14:04
Distribuzione: 22.04
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggio da giuseppe500 »

Davvero grazie ma dato che è
un server per sicurezza vorrei impostare iptable non permanentemente in modo che se riavvio il server ci possa riaccedere se mai succedesse qualcosa .nel mio provider del server posso controllare da web in modo sicuro il riavvio del server.
Grazie ancora
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Accedere al server da ip statico publico

Messaggio da Stealth »

Il mio consiglio è, non avendo accesso fisico al server e prima di fare qualsiasi cosa, di impostare un reboot dopo qualche ora in modo da non rimanere fuori. Puoi impostare un crontab e poi cambiare le regole del firewall, senza salvarle. In caso ti buttasse fuori puoi aspettare il riavvio e trovare tutto come prima. Se scrivi "crontab reboot" su google trovi come fare
ciao
Scrivi risposta

Ritorna a “Ubuntu su server”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti