1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Pequeña duda con CSF

Tema en 'Asuntos Técnicos' iniciado por SoyCeleste, 19 Mar 2014.

  1. SoyCeleste

    SoyCeleste Usuario activo

    Tal como dice el título, tengo una pequeña duda en cuanto al CSF.

    Es posible configurar al CSF para que deje ingresar a un sitio en este caso a la web principal, aunque su IP haya sido bloqueado?
     
  2.  
  3. egrueda

    egrueda Usuario activo

    Si la IP ha sido bloqueada, es complicado :)
    Pero vamos a hacerlo al revés, ¿qué es lo que quieres conseguir?
     
  4. copernico.es

    copernico.es Usuario activo

    No se si he entendido bien tu planteamiento, pero supogo que te refieres a que un sitio con una IP dedicada lo tienes bloqueado mediante CSF. ¿Es ese tu planteamiento y partimos de esa base o es algo que yo me imagino?

    Si es así, puedes colocar el contenido privado bajo la IP dedicada con restricción y colocar el contenido público web en una IP sin restricciones. Se puede hacer sin problemas con un poco de ingenio. Disculpame si he leido mal o me equivoco en el concepto de tu planteamiento, en ese caso deberás de aclararlo mejor. ;)

    Atentamente,
     
  5. SoyCeleste

    SoyCeleste Usuario activo

    Creo que me expliqué mal xD.

    Osea, el CSF bloquea usuarios cuando tratan de scanear puertos, aunque en este caso pasa mucho con IP pero que son de otros países que para mi mejor que estén bloqueados. La duda es porque tengo usuarios que se conectan por ejemplo al cPanel o por FTP con sus datos incorrectos entonces el CSF los bloquea enviandoles un mensaje en un index que yo configure, hasta ahí esta todo bien, que los bloquee es una medida de seguridad para las cuentas de ellos mismos. Yendo al grano, me ha tocado que ellos nos piden que desbloqueemos la IP pero por email y esta no es la idea, sino que lo hagan desde nuestro sitio principal, pero ellos no pueden ingresar por el bloqueo, mi duda es que si es posible que estén bloqueados (sin ingreso a su sitio por ejemplo, que les siga mostrando el index del aviso del bloqueo) pero que puedan ingresar a nuestro sitio principal para que pidan el desbloqueo.

    Que nuestro sitio sea una excepción o algo así, para que el usuario pueda ingresar y que desde nuestro sitio pida el desbloqueo.
     
  6. copernico.es

    copernico.es Usuario activo

    ¿Usas WHMCS? . Si es así hay algún plugin que les permite a los usuarios desbloquearse del firewall desde su área de clientes. por ejemplo:
    http://www.autounblock.com/

    Atentamente,
     
  7. SoyCeleste

    SoyCeleste Usuario activo

    No amigo, yo ofrezco un servicio gratuito, y todo eso funciona desde nuestro sitio; que es el motor principal de lo que hacemos.

    Pregunto, porque queria saber si hay una opción o algo así, que funcione tal cual lo hace el CSF, pero si es posible configurarlo o si hay manera de hacer que el usuario pueda ingresar al sitio y desde allí solicitar el desbloqueo.
     
  8. egrueda

    egrueda Usuario activo

    Cuando CSF bloquea, te deniega el acceso en base a la dirección de origen, no tiene en cuenta la ip de destino. Con el servicio messenger, lo que hace es redirigir el puerto http a un mini-servidor web donde se muestra el mensaje de bloqueo. Esta redirección no se puede hacer para que se muestre tu WHMCS.

    Lo más lógico sería que tengas el WHMCS en un servidor distinto del servidor de tus clientes. Así tus clientes podrían acceder a whmcs y desbloquearse a si mismos con un plugin como el mencionado anteriormente. Es bastante arriesgado tener tu WHMCS en un servidor compartido con terceros.

    Si el bloqueo impide a tus clientes acceder a WHMCS, la única opción que te queda es que lo hagan por email. Pero no me refiero a que te lo pidan por email, sino a que se desbloqueen ellos mismos automáticamente enviando un email. Mira el plugin que te recomendaban antes y busca la opción "Allow pipe unblock"
     
  9. SoyCeleste

    SoyCeleste Usuario activo

    Cierto egrueda, que tonto de mi parte xD; en si hasta ahora no esta en mis planes adquirir otro servidor, porque el uptime actual de los mismos me anda muy bien. Pero de ser necesario, haré lo que me mencionas. Me parece que tendría que hacer algunas configuraciones para hacer eso (lo de adquirir otro sv y tener el sitio principal ahí, ajeno a las demás cuentas) solo que por ahora no lo veo de urgencia, voy a pensar si lo realizo ya.

    Para aclarar, no uso WHMCS; como decia yo no "vendo hosting" lo doy GRATIS. Uso otra herramienta para eso que es gratuito :)
     
  10. egrueda

    egrueda Usuario activo

    Ok, me había liado y creía que sí usabas whmcs, perdona por la confusión.
    De cualquier manera, necesitas un sistema de desbloqueo que esté fuera del servidor bloqueado, o bien un sistema automatizado, como lo del correo que decíamos antes.

    Otra opción que se me ocurre, aunque no la he pensado mucho, es que tengas tu sitio web en una IP dedicada y crees un regla por encima de las demás en el FW para que siempre permita el acceso a esa IP, de forma que se pueda ver la única web que hay en esa IP.
     
  11. SoyCeleste

    SoyCeleste Usuario activo

    Gracias egrueda por responderme.

    No te preocupes, yo también estaba algo confundido xD. En cuanto a tu respuesta me agrada la última del segundo parrafo, de hecho tengo una IP dedicada para el sitio principal, las demás cuentas se crean en otra IP por lo tanto, el sitio principal y las otras cuentas están en distintas IP; me parece que es eso lo que mencionas. Sabes como podría hacer eso? Te agradeceria tu ayuda, o en todo caso donde podria leer sobre ello.

    Perdoná si te altero mucho, pero parece que conoces más que yo al CSF, hay algunos problemas al parecer con las IP estáticas, las desbloqueo pero siguen sin tener acceso, tenés idea que configuración esta mal?
     
  12. SoyCeleste

    SoyCeleste Usuario activo

    Disculpen el doble post, alguien sabe sobre la segunda opción que dijo el compañero?
     
  13. Missi

    Missi Usuario activo

    Vamos a ver ... es tan sencillo como que te rellenen un formulario con la ip a desbloquear y crear un script automático que ejecute el desbloqueo...

    Puedes ver los comandos con csf --help.

    Ese formulario deberá está en otro lugar distinto a este servidor.
     
  14. sgarcia

    sgarcia Usuario activo

    Egrueda sobre lo que comentas aqui, de el sitio principal en una ip dedicada dentro del mismo servidor, que hay que añadir a iptables para que no bloquee el acceso a dicha ip, estoy intentado realizar esto, pero no lo consigo.

    Gracias.
     
  15. egrueda

    egrueda Usuario activo

    Hola, Sgarcia.

    Si en un servidor tienes dos IPs públicas (11.22.33.10 y 11.22.33.20) lo que haces es que dejas la primera ip para tu dominio principal, y la segunda IP compartida para todos los dominios.
    Después creas una regla de iptables para que, por ejemplo, todas las conexiones entrantes con destino 11.22.33.10 al puerto 80 sean permitidas (allowed).
    Si pones esta regla por encima de las demás, evitarás los bloqueos.
    Se me ocurren otras formas, como usar dos interfaces de red y sólo aplicar reglas a una de ellas, ahí ya depende de ti.

    Y con esto tienes la mitad del camino: una persona con la IP bloqueada puede acceder a tu web principal.
    ¿Cómo procedes ahora?
     
    A justice13 le gusta esto.
  16. sgarcia

    sgarcia Usuario activo

    Hola Egrueda,

    Si hay una ip bloqueada la idea es que desde su cuenta de usaurio de WHMCS y del modulo Unblockip desbloqueen la ip.

    El problema que tengo es que no debo estar poniendo el parametro correcto o en el lugar correcto porque no consigo realizar esto en IPTABLES.

    Puedes decirme que debo poner o el fichero a editar?

    Muchas gracias por tu ayuda.
     
  17. sgarcia

    sgarcia Usuario activo

    Esto es lo que estoy poniendo.

    iptables -I INPUT 1 -d 192.168.1.230 -p tcp -m tcp --dport 80 -j ACCEPT

    Las pruebas las estoy haciendo en una red local, el servidor tienes las ips
    192.168.1.202 -> compartida para todos las cuentas
    192.168.1.230 -> dedicada para una de ellas.

    desde un pc realizo varios intentos hacia una cuenta de email para que el firewall me bloquee, y este me bloquea, pero no puede acceder a la ip 230.

    Agradezco vuestra ayuda con esto.
     
  18. egrueda

    egrueda Usuario activo

    Envíanos la salida de este comando:
    CODE, HTML o PHP Insertado:
    iptables -nL INPUT --line-numbers
     
  19. egrueda

    egrueda Usuario activo

    Claro, que también me complico yo la vida :)

    Para esto tenemos el csf.allow
    CODE, HTML o PHP Insertado:
    tcp|in|d=80|s=192.168.1.230
    Copio y pego directamente de la documentación de CSF (esa gran desconocida)
    CODE, HTML o PHP Insertado:
    10. Advanced Allow/Deny Filters
    ###############################
    
    In /etc/csf.allow and /etc/csf.deny you can add more complex port and ip
    filters using the following format (you must specify a port AND an IP address):
    
    tcp/udp|in/out|s/d=port|s/d=ip|u=uid
    
    Broken down:
    
    tcp/udp : EITHER tcp OR udp OR icmp protocol
    in/out : EITHER incoming OR outgoing connections
    s/d=port : EITHER source OR destination port number (or ICMP type)
    (use a _ for a port range, e.g. 2000_3000)
    s/d=ip : EITHER source OR destination IP address
    u/g=UID : EITHER UID or GID of source packet, implies outgoing connections,
    s/d=IP value is ignored
    
    Note: ICMP filtering uses the "port" for s/d=port to set the ICMP type.
    Whether you use s or d is not relevant as either simply uses the iptables
    --icmp-type option. Use "iptables -p icmp -h" for a list of valid ICMP types.
    Only one type per filter is supported
    
    Examples:
    
    # TCP connections inbound to port 3306 from IP 11.22.33.44
    tcp|in|d=3306|s=11.22.33.44
    
    # TCP connections outbound to port 22 on IP 11.22.33.44
    tcp|out|d=22|d=11.22.33.44
    
    Note| If omitted, the default protocol is set to "tcp", the default connection
    direction is set to "in", so|
    
    # TCP connections inbound to port 22 from IP 44.33.22.11
    d=22|s=44.33.22.11
    
    # TCP connections outbound to port 80 from UID 99
    tcp|out|d=80||u=99
    
    # ICMP connections inbound for type ping from 44.33.22.11
    icmp|in|d=ping|s=44.33.22.11
    
    # TCP connections inbound to port 22 from Dynamic DNS address
    # www.configserver.com (for use in csf.dyndns only)
    tcp|in|d=22|s=www.configserver.com
    
    Más info: http://configserver.com/free/csf/readme.txt
     
  20. sgarcia

    sgarcia Usuario activo

    Hola he añadido en el fichero csf.allow
    tcp|in|d=80|d=192.168.1.230 (he puesto d en vez de s porque quiero que desde cualquier ip se puedan conectar) pero no funciona, cuando realizo varios intententos por webmail me bloquea como tiene que ser, pero cuando voy a la ip 230 sigo bloqueado.

    Aqui tienes el resultado de iptables -nL INPUT --line-numbers

    Chain INPUT (policy DROP)
    num target prot opt source destination
    1 ACCEPT udp -- 0.0.0.0/0 192.168.1.230 udp dpt:80
    2 ACCEPT tcp -- 0.0.0.0/0 192.168.1.230 tcp dpt:80
    3 acctboth all -- 0.0.0.0/0 0.0.0.0/0
    4 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp dpt:53
    5 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp dpt:53
    6 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp spt:53
    7 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp spt:53
    8 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp dpt:53
    9 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp dpt:53
    10 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp spt:53
    11 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp spt:53
    12 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp dpt:53
    13 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp dpt:53
    14 ACCEPT tcp -- 192.168.1.1 0.0.0.0/0 tcp spt:53
    15 ACCEPT udp -- 192.168.1.1 0.0.0.0/0 udp spt:53
    16 LOCALINPUT all -- 0.0.0.0/0 0.0.0.0/0
    17 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
    18 INVALID tcp -- 0.0.0.0/0 0.0.0.0/0
    19 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
    21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
    22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
    23 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
    24 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
    25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
    26 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
    27 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
    28 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
    29 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
    30 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587
    31 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
    32 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
    33 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2077
    34 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2078
    35 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2082
    36 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2083
    37 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2086
    38 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2087
    39 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2095
    40 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2096
    41 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:20
    42 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:21
    43 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
    44 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
    45 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
    46 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
    47 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
    48 LOGDROPIN all -- 0.0.0.0/0 0.0.0.0/0
     
  21. justice13

    justice13 Usuario activo

    Es normal que sigas bloqueado. Al indicar la IP dedicada como "IP admitida", solamente desde dicha IP se podrá acceder al puerto en concreto.

    Prueba esto:
    tcp|in|d=80|d=192.168.1.230

    Explico la diferencia.

    LA ORIGINAL SUGERIDA :: tcp|in|d=80|s=192.168.1.230
    LA QUE TE DIGO :: tcp|in|d=80|d=192.168.1.230

    La original establece la regla en base a que la IP origen (s) sea la del servidor, pero realmente la regla debe establecer que se pueda acceder a la IP destino (d) del servidor.

    Esto debería resolverte el problema. Aviso: no la he testeado previamente, y no me hago cargo de las consecuencias que pudiera tener, aunque en el peor de los casos, la retiras y arreglado.

    Saludos.
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·