Accedere al server da ip statico publico
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Accedere al server da ip statico publico
Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
- DoctorStrange
- Imperturbabile Insigne
- Messaggi: 2854
- Iscrizione: mercoledì 14 ottobre 2015, 9:33
- Desktop: Gnome3
- Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
- Sesso: Maschile
- Località: Roma, Italia
Re: Accedere al server da ip statico publico
Imposti sul server come "policy" della INPUT chain il valore "DENY", poi aggiungi un unica regola che permette su quello stesso server tutto il traffico entrante da quell'unico indirizzo IP. Ma per quale motivo pensi che il tuo server abbia bisogno di queste protezioni? Hai rilevato qualche tentativo di accesso fraudolento?
Re: Accedere al server da ip statico publico
se è un server remoto stai bene attento perchè se qualsiasi cosa andasse storta resti chiuso fuori
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Accedere al server da ip statico publico
Ma il server non ha altri servizi per cui dare accesso agli altri IP?giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5086111#p5086111][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
Certo puoi aprire una o più porte al tuo solo IP o anche a più IP.
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
Grazie
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Accedere al server da ip statico publico
Se non hai messo su il persistent spariscono, poi dipende hai iptables o FW ?
-------------
S. @-M.
-------------
S. @-M.
-------------
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Accedere al server da ip statico publico
Sì, come qualsiasi comando che non scriva un file di configurazione. Se ad es. smonti un disco con umount, ma in fstab è impostato per montarsi, al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionaligiuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5088120#p5088120][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
ciao
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
era per ripararmi se per caso mi chiudo fuori dal server.riavvio la macchina e i le configurazioni dei servizi partono perchè sono configurati nei file di configurazione mentre quelle del firewall si perdono.
Nel mio host il riavvio avviene da un sito web posso riavviare quando voglio.
sbaglio qualcosa?che tu hai intuito dalle mie parole?
Grazie intanto Stealth
Nel mio host il riavvio avviene da un sito web posso riavviare quando voglio.
sbaglio qualcosa?che tu hai intuito dalle mie parole?
Grazie intanto Stealth
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Accedere al server da ip statico publico
Io il server lo riavvio ogni aggiornamento della kernel, in quanto era d'obbligo.al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao
Ora con installato "Canonical Livepatch Service" non dovrebbe essere più necessario il riavvio del server per aggiornare la kernel.
Anche se a dire il vero magari ogni tanto succede un qualcosa che blocca e serve il riavvio.
Lui mi pare abbia un desktop, da come chiedeva.
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
no ho un server cloud su un provider di cui non dico il nome
- thece
- Tenace Tecnocrate
- Messaggi: 12943
- Iscrizione: lunedì 23 aprile 2007, 14:16
- Distribuzione: Debian 12 (Bookworm) - KDE
Re: Accedere al server da ip statico publico
A meno che non venga installato un pacchetto apposito, se non sbaglio iptables-persistent, oppure venga usata una qualche tecnica equivalente e alternativa, le regole impostate per IPTables NON sopravvivono al reboot dell'host.
Quando si fanno esperimenti con le regole di IPTables e si teme che si possa verificare la possibilità di "chiudersi fuori" dall'host a causa di un qualche errore sulle regole impostate, le best practice suggeriscono di schedulare un job di cron (*) che vada a ripulire tutte le regole impostate ogni N minuti. In questo modo, dopo aver impostato le regole, se il test di connessione all'host dovesse fallire, dopo N minuti si riuscirebbe comunque a riguadagnare l'accesso.
(*) Il job di cron è temporaneo. Una volta affinate le regole di IPTables, il job di cron deve essere disabilitato.
In merito alla richiesta iniziale
Si, ad esempio utilizzando opportune regole per IPTables. Ad esempio:giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5086111#p5086111][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Codice: Seleziona tutto
#!/bin/bash
IPTABLES="/sbin/iptables"
# INPUT CHAIN
# Block incoming connections from IP address different by AAA.BBB.CCC.DDD
$IPTABLES -A INPUT -i eth0 ! -s AAA.BBB.CCC.DDD -m conntrack --ctstate NEW -j DROP
# Allow incoming SSH connections
$IPTABLES -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -j DROP
# FORWARD CHAIN
$IPTABLES -A FORWARD -j DROP
exit 0
- bloccano tutte le connessioni in ingresso provenienti da indirizzi IP diversi da AAA.BBB.CCC.DDD
- permettono le connessioni in ingresso per SSH (se l'indirizzo l'indirizzo IP sorgente è uguale a AAA.BBB.CCC.DDD)
- bloccano tutte le connessioni in ingresso per i servizi diversi da SSH
- permettono tutte le connessioni in uscita
Se la tua intenzione è quella di rendere il tuo server irraggiungibile da chiunque tranne che da te ... si, è un modo.giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5086111#p5086111][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Questo è un buon passo per rendere sicuro il server?
Ultima modifica di thece il venerdì 19 ottobre 2018, 23:57, modificato 5 volte in totale.
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?su questo sito?perche ho cercato su google e ho trovato tonnellate di risultati che spiegano le best pratice per cui ok se c è una sezione su ubuntu.it mi piacerebbe saperlo
- thece
- Tenace Tecnocrate
- Messaggi: 12943
- Iscrizione: lunedì 23 aprile 2007, 14:16
- Distribuzione: Debian 12 (Bookworm) - KDE
Re: Accedere al server da ip statico publico
No. L'avevo letto su un qualche tutorial per IPTables, ma non ricordo quale.giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5088293#p5088293][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?
Re: Accedere al server da ip statico publico
Questo thread si poteva risolvere con un solo post: https://wiki.ubuntu-it.org/Sicurezza/Ufw
UFW è appunto per chi non è tanto pratico e le regole sono persistenti.
L'unica cosa che proprio non mi gusta della guida è che andrei a eliminarle proprio le righe della sezione Ping invece di modificarle in DROP, poi modificherei /etc/default/ufw per lavorare su IPT_SYSCTL=/etc/sysctl.conf (pulendo tutto e creando un solo simbolico /etc/sysctl.d/99-sysctl.conf) invece che su quello UFW.
Ma visto che ha una preparazione base base, già inizia con la guida e poi chiede, perché ce n'è pulizia da fare nei vari after/before rules e in Italia anche la disattivazione totale di IPv6 per snellire ancora di più il tutto.
Ma intanto parte con 3-4 semplici comandi della guida, poi se chiede cose più avanzata si vedrà.
UFW è appunto per chi non è tanto pratico e le regole sono persistenti.
L'unica cosa che proprio non mi gusta della guida è che andrei a eliminarle proprio le righe della sezione Ping invece di modificarle in DROP, poi modificherei /etc/default/ufw per lavorare su IPT_SYSCTL=/etc/sysctl.conf (pulendo tutto e creando un solo simbolico /etc/sysctl.d/99-sysctl.conf) invece che su quello UFW.
Ma visto che ha una preparazione base base, già inizia con la guida e poi chiede, perché ce n'è pulizia da fare nei vari after/before rules e in Italia anche la disattivazione totale di IPv6 per snellire ancora di più il tutto.
Ma intanto parte con 3-4 semplici comandi della guida, poi se chiede cose più avanzata si vedrà.
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Accedere al server da ip statico publico
Diciamo che trattandosi di server sarebbe meglio capire cosa si sta facendo. Se fosse mio lo imposterei per accettare il mio IP, eventuali connessioni stabilite o relative (per consentire gli aggiornamenti ad es.), ma non le nuove, e poi droppare tutto il resto. In fondo sono 2 o 3 righe e le capisci solo a guardarle
ciao
ciao
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Accedere al server da ip statico publico
Non ho capito a che serve questo server ?
Se lo rendi irraggiungibile da altri su tutte le porte, serve come file server solo per te?
Se lo rendi irraggiungibile da altri su tutte le porte, serve come file server solo per te?
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Accedere al server da ip statico publico
1) si puo' abilitando in iptables solo il tuo ip su ssh.giuseppe500 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5091470#p5091470][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
2) abiliti tutti gli IP su http ed https sempre in iptables.
3) basta non installare vsftpd oppure non aprire la porta 21
4) per entrare su sftp si usa la stessa porta di ssh.
Io entro in ssh su una porta non standard la puoi settare nella configurazione in /etc/ssh oppure lasciare la 22 (per comodità magari da ip interni) ed esternamente apri una porta qualsiasi che punta poi alla 22.
Per come fare.. è semplice.... poi magari riesco a darti le linee da mettere in IPtables, intanto potresti postare il tuo iptables, dando il comando "sudo iptables-save > file.save" salvi tutto e poi lo editi e lo posti.
Nel frattempo c'è anche la guida per i settaggi iptables
Così al volo:
Consentire l'ingresso su porte specifiche
Codice: Seleziona tutto
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Ma non è sufficiente come configurazione.
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Scoppiettante Seguace
- Messaggi: 470
- Iscrizione: martedì 22 maggio 2012, 14:04
- Distribuzione: 22.04
- Sesso: Maschile
Re: Accedere al server da ip statico publico
Davvero grazie ma dato che è
un server per sicurezza vorrei impostare iptable non permanentemente in modo che se riavvio il server ci possa riaccedere se mai succedesse qualcosa .nel mio provider del server posso controllare da web in modo sicuro il riavvio del server.
Grazie ancora
un server per sicurezza vorrei impostare iptable non permanentemente in modo che se riavvio il server ci possa riaccedere se mai succedesse qualcosa .nel mio provider del server posso controllare da web in modo sicuro il riavvio del server.
Grazie ancora
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Accedere al server da ip statico publico
Il mio consiglio è, non avendo accesso fisico al server e prima di fare qualsiasi cosa, di impostare un reboot dopo qualche ora in modo da non rimanere fuori. Puoi impostare un crontab e poi cambiare le regole del firewall, senza salvarle. In caso ti buttasse fuori puoi aspettare il riavvio e trovare tutto come prima. Se scrivi "crontab reboot" su google trovi come fare
ciao
ciao
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti