Si tu nodo Duniter está funcionando, eso significa que está accesible desde Internet, y si todo el mundo puede ver tu nodo, es mejor tener configurado una corta fuegos.
Esta configuración supone que:
- tu, como admin, accedes a la maquina via ssh por el puerto 22
- tienes configurado un servidor web que escucha conexiones http y https (80 y 443)
inspeccionar las reglas del cortafuegos
sudo iptables -L
Verás que por omisión se acepta todo el tráfico entrante Chain INPUT (policy ACCEPT)
Esto cambiaremos para que no acepte nada menos el tráfico que llega por los puertos 22
, 80
y 443
Abrir una sesión root
…
sudo su -
… copia lo siguiente y pégalo en el terminal.
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
ip6tables -F INPUT
ip6tables -P INPUT ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
Ahora puedes volver a inspeccionar la reglas si tienes curiosidad.
Y salir de la sessión root
hacer que sean persitentes
Cuando el servidor se reinicie, se pierden las reglas. Para que se recuperen al arrancar la máquina instalamos iptables-persistent
sudo apt-get install iptables-persistent
Al instalarse te preguntará si quieres que se guarden las reglas definidas, di que sí.
Puedes listar las reglas guardadas
cat /etc/iptables/rules.v4
cat /etc/iptables/rules.v6
modificar reglas
Son dos maneras.
La primera será editando el fichero directamente con tu editor preferido como vim
o nano
sudo nano /etc/iptables/rules.v4
y activar tu modificaciones
sudo iptables-restore < /etc/iptables/rules.v4
La otra manera es usar el comando iptables
. Una vez hecho los cambios, se guardan así
sudo iptables-save > /etc/iptables/rules.v4