Si tu nodo Duniter está funcionando, eso significa que está accesible desde Internet, y si todo el mundo puede ver tu nodo, es mejor tener configurado una corta fuegos.
Esta configuración supone que:
- tu, como admin, accedes a la maquina via ssh por el puerto 22
- tienes configurado un servidor web que escucha conexiones http y https (80 y 443)
inspeccionar las reglas del cortafuegos
sudo iptables -L
Verás que por omisión se acepta todo el tráfico entrante Chain INPUT (policy ACCEPT) Esto cambiaremos para que no acepte nada menos el tráfico que llega por los puertos 22, 80 y 443
Abrir una sesión root …
sudo su -
… copia lo siguiente y pégalo en el terminal.
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
ip6tables -F INPUT
ip6tables -P INPUT ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
Ahora puedes volver a inspeccionar la reglas si tienes curiosidad.
Y salir de la sessión root
hacer que sean persitentes
Cuando el servidor se reinicie, se pierden las reglas. Para que se recuperen al arrancar la máquina instalamos iptables-persistent
sudo apt-get install iptables-persistent
Al instalarse te preguntará si quieres que se guarden las reglas definidas, di que sí.
Puedes listar las reglas guardadas
cat /etc/iptables/rules.v4
cat /etc/iptables/rules.v6
modificar reglas
Son dos maneras.
La primera será editando el fichero directamente con tu editor preferido como vim o nano
sudo nano /etc/iptables/rules.v4
y activar tu modificaciones
sudo iptables-restore < /etc/iptables/rules.v4
La otra manera es usar el comando iptables. Una vez hecho los cambios, se guardan así
sudo iptables-save > /etc/iptables/rules.v4