Configurar Apache

[lway]

Se que desde la página anterior me vienes diciendo esto, pero apache tiene varios archivos de configuración y por eso no sé a cuál te refieres. Si puedes especifícame qué archivo es. Aparte de eso voy a estudiar un poco de apache pues ya conseguí un book, luego te digo si resolví algo

[hugo]

Cuando hablo del archivo de configuracion de Apache sin especificar cual, obviamente me refiero al archivo principal de configuración de Apache, httpd.conf.

[lway]

Estudiando un poco ya al menos logré tener por el puerto 80 al virtualhost por defecto y por el 8080 el virtualhost que sirve la página de mono. Esto lo hice configurando httpd.conf de la siguiente manera:

Código: Seleccionar todo

 

Listen 8080

NameVirtualHost *:8080

 

y la primera linea de mi archivo de configuración monohost en sites-available como:

Código: Seleccionar todo

<VirtualHost *:8080>

Ah también quité el DNS local, o sea quité la linea

Código: Seleccionar todo

127.0.0.1   monohost

de /etc/hosts pues me decidí a tener host virtuales por ip y no por nombre, de la otra manera no encontré solución.

También me di cuenta que mientras Apache responda por los puertos 80 y 8080 no puedo hacer nada para que otra máquina en la red no se conecte con él. Lo que se puede es restringir los accesos como mismo ustedes me dijeron.

Gracias por toda lo que me han enseñado, he aprendido mucho.

[lway]

O bueno podría poner un firewall para que no me accedan por el puerto 80. Me sugieres alguno para Ubuntu 12.04 y una configuración simple para el mismo ?

[hugo]

iptables viene con el kernel y en realidad no es dificil de configurar, si tienes una política permisiva por defecto podrías hacer algo como esto:

Código: Seleccionar todo

iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP

[lway]

Parece que la cosa continua. Mirando otros artículos del Foro vi que tengo que ejecutar la regla cada vez que inicie la máquina.

Y ciertamente debe ser porque reinicié y la regla se perdió, y con ella la protección ante ataques, ante el acceso al puerto 80.

Cómo hago para que la regla persista cada vez que inicie la máquina ?

[hugo]

Hay varios lugares donde puedes poner la regla.
Por ejemplo, en el archivo /etc/network/interfaces puedes poner esto al final de las opciones de eth0:

Código: Seleccionar todo

up iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP

Igual podrías instalar el paquete iptables-persistent, crear la regla y guardarla en el lugar apropiado (si mal no recuerdo es /etc/iptables/rules):

Código: Seleccionar todo

apt-get install iptables-persistent
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
iptables-save > /etc/iptables/rules

Esto se hace una sola vez, luego la regla se cargaría automáticamente cuando el sistema inicie.

[lway]

Ya me funcionó, gracias por todo

[hugo]

No es nada. De todas maneras, y para terminar con un consejo breve para no extenderme en otro tema: te recomiendo que estudies iptables, e implementes una política con denegación por defecto, donde permitas acceso solo a los puertos que de veras están proporcionando servicios. Esto es mucho más seguro. En otras palabras, en lugar de decir "puede pasar todo menos esto y aquello" dirías "no pasará nada, excepto esto y aquello".