Autor Tema: Firewall OVH. ¿Qué hago mal? ¿O qué no veo? (SOLUCIONADO)  (Leído 332 veces)

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Firewall OVH. ¿Qué hago mal? ¿O qué no veo? (SOLUCIONADO)
« en: 04 de Noviembre de 2017, 09:38:59 pm »
Hola buenas,

Estoy parámetrizando el firewall de mi vps en OVH.

Código: [Seleccionar]
-A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 21 --source xx.xx.xx.xx -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 22 --source xx.xx.xx.xx -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source AAA.BBB.CCC.250 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source AAA.BBB.CCC.251 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p tcp --source 192.168.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p udp --source 192.168.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -j REJECT

En 000.000.000 pongo lo que son los 3 primeros octetos de la dirección ip. He mirado con el comando ip addr y mi interfaz es la ens3, al ser un KVM OpenStack.

Se que este firewall es bastante permisivo y que se puede mejorar. Pero a mí para empezar me sirve. Ejemplo:

Crear un script con:

Código: [Seleccionar]
$IPT -P INPUT DROP;
$IPT -P OUTPUT DROP;
$IPT -P FORWARD DROP;

He ir abriendo!

#TCP Sync Cookie
Código: [Seleccionar]
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Evitar spoof
Código: [Seleccionar]
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > ${interface}


La cuestión es que en mi ip principal me resuelve el nginx pero en el manager de ovh el monitoring no lo detecta y doy acceso a los servers de monitoring de ovh. Los estados me salen todos en rojo. Incluso el ping. ¿Me dejo algo en el tintero?

Como colofón, es la primera vez que monto un firewall en un vps de OVH. Y he mirado un poco este post en su foro:
https://forum.ovh.es/showthread.php/8017-Script-de-configuraci%C3%B3n-de-IPTABLES-(firewall)

Más la siguiente guía:
http://guias.ovh.es/printPage/FireWall

Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #1 en: 04 de Noviembre de 2017, 10:16:53 pm »
Ok. Creo que se por donde van los tiros:

Código: [Seleccionar]
netstat -utlpn
Código: [Seleccionar]
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      4872/nginx: master
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      938/sshd
tcp6       0      0 :::80                   :::*                    LISTEN      4872/nginx: master
tcp6       0      0 :::22                   :::*                    LISTEN      938/sshd
udp        0      0 0.0.0.0:68              0.0.0.0:*                           863/dhclient
Escucha por la ip local. Voy a abrir la loopback en el firewall y a chapar la ipv6.

Edito: Pues con:
Código: [Seleccionar]
iptables -A INPUT -i lo -j ACCEPT sigue igual!
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #2 en: 04 de Noviembre de 2017, 10:41:27 pm »
Buenas. He probado a desinstalar iptables y a instalar una Debian 9 "Strech" (dónde este aptitude que se quite el jodido yum xD) con ufw y tampoco! Esto ya es raro de cojones! A alguien más le pasa lo de los estados en rojo del manager de OVH con los vps KVM OpenStack?

ufw enable
ufw default deny incoming
ufw default allow outgoing
ufw allow 22

El estado, en el manager de ovh, sigue en rojo! Pero el nginx y los demás servicios me resuelven y doy acceso al monitoring de ovh en las reglas. xD xD xD
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #3 en: 07 de Noviembre de 2017, 01:59:15 am »
Nada... Qué permito los servers de monitoring de OVH y los estados siguen saliendo en rojo en el manager y el apache resuelve en el navegador! xD xD xD

Código: [Seleccionar]
sudo /sbin/iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p tcp --dport 80 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.ovh.net -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.p19.ovh.net -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source ping.ovh.net -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 00.00.000.250 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 00.00.000.251 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 92.222.184.0/24 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 92.222.185.0/24 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 92.222.186.0/24 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 167.114.37.0/24 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -p icmp --source 37.59.96.4/32 -j ACCEPT
sudo /sbin/iptables -A INPUT -i ens3 -j REJECT
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15060
    • http://www.daboblog.com
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #4 en: 08 de Noviembre de 2017, 10:40:47 am »
Hola, ya vi tu tuit y el mail, le pasa a mucha gente como has podido ver y no hay explicación clara por su parte. Mi mejor consejo es que les abras un ticket en soporte y les comentes el tema (y ya nos cuentas)

De todos modos, si quieres parar a nmap, además de eso instala portsentry.

aptitude install portsentry y luego en /etc/portsentry.conf activa "block TCP  UDP" y el "scan Trigger" déjalo en "0" para que reaccione más rápido. Compruebas una vez instalado con lsof -i | less y lanza algún nmap

Para desbloquear una IP: sbin/route del -host aquí_la_ip reject
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #5 en: 09 de Noviembre de 2017, 12:23:57 am »
Hola buenas,

Pues mira que al principio me ralle la cabeza. Luego entre en el foro de OVH y veo que le pasa a más gente. Así que supongo que debe de ser algo normal. xD Mañana abro ticket a OVH que vengo cansado del curro y ahora me toca meterme a instalar y configurar servicios en el vps. xD

Igualmente cuando me contesten desde soporte ya iré comentando. Pero vamos, que parece que es lo normal. xD Porque hago ping y responde el vps. xD

No veas el grado de expertise que hay en OVH. Entre su foro que le va mal, y que el manager parece una escopeta de feria... xD

¿Dabo tú tienes algún vps allí? ¿Te pasa lo mismo con los estados del manager?

Salu2,
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #6 en: 11 de Noviembre de 2017, 07:03:33 pm »
Hola buenas,

Qué cachondos esta gente de OVH. Acabo de obtener respuesta de su parte, y me dicen lo siguiente:

Estimado cliente,

Gracias por contactar con el Servicio Técnico de OVH.

Indicarle que los datos que muestra el sistema de monitorización de su área de cliente no son en tiempo real, por lo que le recomendariamos acceder a su servidor e instalar el software Real Time Monitoring.

Indicarle que el servicio de monitorización no tiene ningún tipo de garantía o SLA ya que al tener un acceso como administrador de la máquina  podrá hacer las comprobaciones a nivel de consola:

http://guias.ovh.es/RealTimeMonitoring

En caso de que no funcione:

1. abrir fichero  /usr/local/rtm/etc/rtm-ip
2. comprobar que esta IP aparece -> 37.187.231.251
3. ejecutar el comando "rtm"

Vamos que lo tienen ahí para hacer bonito. Manda cojones, pues! Hay que instalar su software.

Edito:

Bueno esto ya manda cojones de los grandes! Ya ni me deja instalar el RTM de OVH!

Aquí el resultado:

Código: [Seleccionar]
su - ferran
cd /usr/local/src/
wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
chmod +x install_rtm.sh
sh install_rtm.sh

Resultado:
install_rtm.sh: 11: install_rtm.sh: [[: not found
install_rtm.sh: 48: install_rtm.sh: function: not found
Generating update-report.pl...
install_rtm.sh: 50: install_rtm.sh: cannot create
/usr/local/rtm/bin/update-report.pl: Directory nonexistent
install_rtm.sh: 57: install_rtm.sh: cannot create
/usr/local/rtm/bin/update-report.pl: Directory nonexistent
install_rtm.sh: 64: install_rtm.sh: cannot create
/usr/local/rtm/bin/update-report.pl: Directory nonexistent
install_rtm.sh: 65: install_rtm.sh: cannot create
/usr/local/rtm/bin/update-report.pl: Directory nonexistent
chown: cannot access '/usr/local/rtm/bin/update-report.pl': No such
file or directory
chmod: cannot access '/usr/local/rtm/bin/update-report.pl': No such
file or directory
install_rtm.sh: 95: install_rtm.sh: Syntax error: "}" unexpected

Manda huevos! xD

Me sigo peleando con esto! Ya os cuento! Les acabo de enviar otro correo a OHV. Lo he probado desde root y desde mi usuario limitado en el vps. Y tengo perl instalado!

Saludos gente,
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #7 en: 11 de Noviembre de 2017, 10:57:02 pm »
Listo mens! Creo que ya funciona!

dpkg-reconfigure dash ---> No. Y agregar la IP al fichero: /usr/local/rtm/etc/rtm-ip

Al utilizar el Dash por defecto cuando ejecutabas el script no te reconocía los comandos de bash! Viva el Four Roses! Me salvo la noche! Y los foros de OVH!
https://forum.ovh.com/showthread.php/101028-Rtm

Y un poco de Google:
http://www.alnork.com/2017/09/09/tecnologia/servidores/fix-para-hacer-funcionar-el-rtm-en-el-panel-de-ovh/

Yo el firewall de momento lo tengo así:

Código: [Seleccionar]
#!/bin/bash
#Firewall para el vps.
#Ferran Villalba Castillo.
#Realizamos el seguimiento de conexiónes.
/sbin/iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Abrimos el puerto 80.
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 80 -j ACCEPT
#Abrimos el puerto 22.
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT
#Monitoring OVH.
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source 00.00.000.250 -j ACCEPT
/sbin/iptables -A INPUT -i ens3 -p icmp --source 00.00.000.251 -j ACCEPT
#Autorizamos al SSH desde los servidores de OVH.
/sbin/iptables -A INPUT -i ens3 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
#Autorizamos el RTM de OVH para el monitoring.
/sbin/iptables -A OUTPUT -o ens3 -p udp --destination rtm-collector.ovh.net --dport 6100:6200 -j ACCEPT
#Denegamos todo el tráfico de entrada "INPUT".
/sbin/iptables -A INPUT -i ens3 -j REJECT

Pronto hago la guía! Le voy a mandar la nueva guía mejorada a estos manazas de OVH! También va a entrar como cambiar la interfaz por defecto ens3 a eth0! Gracias amigo Google!  :-) Ya sabeis que yo estoy empezando en esto del sysadmin!
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

Desconectado destroyer

  • Administrator
  • *
  • Mensajes: 14096
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • destroyerweb, manuales guias  y tutoriales de informatica
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #8 en: 12 de Noviembre de 2017, 02:36:35 pm »
Listo mens! Creo que ya funciona!

Pronto hago la guía! Le voy a mandar la nueva guía mejorada a estos manazas de OVH! También va a entrar como cambiar la interfaz por defecto ens3 a eth0! Gracias amigo Google!  :-) Ya sabeis que yo estoy empezando en esto del sysadmin!

La esperamos entonces..  ;-)

Un saludo

Desconectado fvillalba

  • Member
  • ***
  • Mensajes: 481
Re:Firewall OVH. ¿Qué hago mal? ¿O qué no veo?
« Respuesta #9 en: 16 de Noviembre de 2017, 12:54:15 am »
Listo mens! Creo que ya funciona!

Pronto hago la guía! Le voy a mandar la nueva guía mejorada a estos manazas de OVH! También va a entrar como cambiar la interfaz por defecto ens3 a eth0! Gracias amigo Google!  :-) Ya sabeis que yo estoy empezando en esto del sysadmin!

La esperamos entonces..  ;-)

Un saludo

Perdón.

Ando líado en el curro pero en OVH van a actualizar la guía gracias a mis aportes. Pero ellos me tienen que autorizar la IP. Todavía ando probando. Creo que el RTM solo funciona en dedis. Yo todavía lo estoy probando en OVH. El soft se me instala y tal pero creo que lo único que falta es que me autoricen la ip del vps desde soporte! El problema está que en Debian viene configurado el Dash y hay que pasarlo a bash "dpkg-reconfigure dash" para que el interprete pueda leer el código del programa y hay que contactar con soporte después de instalar el RTM para que te autoricen la ip. El asunto es un poco una movida y tal...
Loco de los servidores y de las pantallas con fondo negro y líneas blancas. Heavy user of OSX and GNU/Linux. Microsoft Windows Sucks.

 



condiciones de registro y uso de los foros | Privacidad
el contenido de la web se rige bajo licencia
Creative Commons License