| ... | ... | @@ -28,3 +28,65 @@ De esta forma se permite el acceso a todos los usuarios que pertenezcan al grupo |
|
|
|
|
|
|
|
|
|
|
|
# Políticas de seguridad - Seguridad ante ataques: iptables (Firewall)
|
|
|
|
Por defecto, no se encuentra configurada ninguna regla de mapeo configurada para ninguna de las cadenas INPUT, FORWARD, OUTPUT, es decir, las políticas para los paquetes que no se relacionan a ninguna regla (para todas las cadenas) es aceptarlos (policy ACCEPT).
|
|
|
|
|
|
|
|
Para el uso de DSpace, es necesario habilitar reglas de firewall más restrictivas, tener en cuenta la apertura de los siguientes puertos:
|
|
|
|
|
|
|
|
- **Puertos entrantes desde el exterior:**
|
|
|
|
- 22 (SSH)
|
|
|
|
- 80 (HTTP)
|
|
|
|
- 443 (HTTPS)
|
|
|
|
- 2641 y 8000 (Handle-Server)
|
|
|
|
- **Puertos entrantes desde localhost:**
|
|
|
|
- 3310 ([Clamav Server](https://wiki.lyrasis.org/display/DSPACE/DSpace+Curation+Task+-+Virus+Scanning+with+ClamAV))
|
|
|
|
- 5432 (PostgreSQL)
|
|
|
|
- 8443 (Tomcat)
|
|
|
|
- **Opcional y según corresponda:**
|
|
|
|
- 25 (SMTP)
|
|
|
|
- 389 (LDAP)
|
|
|
|
- 636 (LDAPS)
|
|
|
|
- 873 (rsync)
|
|
|
|
|
|
|
|
Para ello se creó el script firewall.sh con la siguiente información:
|
|
|
|
|
|
|
|
```bash
|
|
|
|
#!/bin/bash
|
|
|
|
# Universidad Nacional de Rio Negro
|
|
|
|
# Gaston Cadenassoa
|
|
|
|
|
|
|
|
iptables_cmd='/usr/sbin/iptables'
|
|
|
|
|
|
|
|
# Limpiamos toda la tabla
|
|
|
|
${iptables_cmd} −F
|
|
|
|
${iptables_cmd} −X
|
|
|
|
${iptables_cmd} −Z
|
|
|
|
${iptables_cmd} −t nat −F
|
|
|
|
|
|
|
|
# Reglas basicas [politicas por defecto]
|
|
|
|
${iptables_cmd} −P INPUT ACCEPT
|
|
|
|
${iptables_cmd} −P OUTPUT ACCEPT
|
|
|
|
${iptables_cmd} −P FORWARD ACCEPT
|
|
|
|
${iptables_cmd} −t nat −P PREROUTING ACCEPT
|
|
|
|
${iptables_cmd} −t nat −P POSTROUTING ACCEPT
|
|
|
|
|
|
|
|
# Puertos Permitidos: 22(TCP) 80(TCP) 443(TCP) 2641(X) 8000(X)
|
|
|
|
|
|
|
|
# Acceso total desde itadmin
|
|
|
|
${iptables_cmd} −A INPUT −s 10.114.254.0/24 −i ens192 −j ACCEPT
|
|
|
|
# Conexion locales permitidas
|
|
|
|
${iptables_cmd} −A INPUT −i lo −j ACCEPT
|
|
|
|
# Abrimos los puertos especificos
|
|
|
|
${iptables_cmd} -A INPUT -p tcp --dport 22 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p tcp --dport 80 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p tcp --dport 443 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p tcp --dport 2641 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p udp --dport 2641 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p tcp --dport 8000 -j ACCEPT
|
|
|
|
${iptables_cmd} -A INPUT -p udp --dport 8000 -j ACCEPT
|
|
|
|
|
|
|
|
# Cerramos todo el resto de puertos desde cualquier origen
|
|
|
|
${iptables_cmd} −A INPUT −s 0.0.0.0/0 −p tcp −dport 1:1024 −j DROP
|
|
|
|
${iptables_cmd} −A INPUT −s 0.0.0.0/0 −p udp −dport 1:1024 −j DROP
|
|
|
|
|
|
|
|
exit 0
|
|
|
|
``` |
|
|
\ No newline at end of file |
