Cómo configurar su firewall para los servicios cPanel y WHM

Cómo configurar su firewall para los servicios cPanel y WHM

Válido para la versión 84


Última modificación: 18 de agosto de 2021

Visión general

cPanel & WHM instala y administra muchos servicios diferentes en su sistema, la mayoría de los cuales requieren una conexión externa para funcionar correctamente. Debido a esto, su firewall debe permitir que cPanel & WHM abran los puertos en los que se ejecutan estos servicios.

Este documento enumera los puertos que usa cPanel & WHM, y qué servicios usan cada uno de estos puertos, para permitirle configurar mejor su firewall.

Advertencia:

  • Nosotros fuertemente te recomiendo solamente puertos abiertos para los servicios que utiliza.

  • Cuando trabaja con reglas de firewall, siempre asegúrese de incluir una forma de volver a iniciar sesión en su servidor, y siempre mantener el acceso de la consola a su servidor.

Puertos

Importante:

Nosotros fuertemente le recomendamos que utilice la versión SSL de cada servicio siempre que sea posible.

  • El uso de servicios que no son SSL puede permitir a los atacantes interceptar información confidencial, como las credenciales de inicio de sesión.
  • Asegúrese siempre de que existan certificados SSL válidos para sus servicios en WHM Gestionar certificados SSL de servicio interfaz (WHM >> Inicio >> Configuración del servicio >> Gestionar certificados SSL de servicio).

| 2077 | WebDAV | | | | | | cPanel Disco web interfaz (cPanel >> Inicio >> Archivos >> Disco web) utiliza estos puertos. | | 2078 | WebDAV SSL | | | | | | | | 2079 | CalDAV y CardDAV | | | | | | | | 2080 | CalDAV y CardDAV (SSL) | | | | | | | | 2082 | Licencias de cPanel y cPanel | | | | | |

Nota:

Para deshabilitar el inicio de sesión a través de este puerto y solo permitir el inicio de sesión a través de SSH, configure el Elija el dominio coincidente más cercano para el cual el sistema tiene un certificado válido al redirigir de URL no SSL a SSL. Anteriormente conocido como «Redirigir siempre a SSL / TLS» ajuste a Sobre en WHM’s Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración). Esto redirigirá a los usuarios a puertos seguros con el /cpanel, /whm, y /webmail alias.

| | 2083 | Licencias cPanel SSL y cPanel | | | | | | | | 2086 | Licencias de WHM y cPanel | | | | | |

Nota:

Para deshabilitar el inicio de sesión a través de este puerto y solo permitir el inicio de sesión a través de SSH, configure el Elija el dominio coincidente más cercano para el cual el sistema tiene un certificado válido al redirigir de URL no SSL a SSL. Anteriormente conocido como «Redirigir siempre a SSL / TLS» ajuste a Sobre en WHM’s Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración). Esto redirigirá a los usuarios a puertos seguros con el /cpanel, /whm, y /webmail alias.

| | 2087 | Licencias WHM SSL y cPanel | | | | | | | | 2089 | Licencias de cPanel | | | | | |

Advertencia:

usted debe configure su sistema para permitir conexiones tcp salientes desde puertos de origen 4 y 1020 al puerto de destino 2089. Esto permitirá que el servidor se comunique con los servidores de licencias de cPanel, LLC.

| | 2095 | Webmail | | | | | |

Nota:

Para deshabilitar el inicio de sesión a través de este puerto y solo permitir el inicio de sesión a través de SSH, configure el Elija el dominio coincidente más cercano para el cual el sistema tiene un certificado válido al redirigir de URL no SSL a SSL. Anteriormente conocido como «Redirigir siempre a SSL / TLS» ajuste a Sobre en WHM’s Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración). Esto redirigirá a los usuarios a puertos seguros con el /cpanel, /whm, y /webmail alias.

| | 2096 | Licencias de Webmail SSL y cPanel | | | | | | | | 2195 | Servicio de notificaciones push de Apple (APN) | | | | | | cPanel & WHM solo usa este puerto para el Servicio de notificaciones push de Apple® (APN). Para obtener más información, lea nuestro Cómo configurar notificaciones push de iOS documentación. | | 2703 | Razor | | | | | | Razor es una base de datos colaborativa de seguimiento de spam. Para más información, visita el sitio web de Razor. | | 3306 | MySQL® | | | | | | MySQL usa este puerto para conexiones de bases de datos remotas. | | 6277 | DCC | | | | | | Para obtener más información, lea Apache DCC y NetTestFirewallIssues documentación. | | 24441 | Pyzor | | | | | | Para obtener más información, lea Apache Pyzor y NetTestFirewallIssues documentación. |

Configuraciones de ejemplo

Los siguientes ejemplos explican cómo agregar reglas con ConfigServer Security & Firewall (CSF), Advanced Policy Firewall (APF) y el iptables utilidad.

Advertencia:

CSF y APF hacen no funcionar con el firewalld utilidad. Si instala CSF o APF, debe eliminar el firewalld utilidad. Para hacer esto, ejecute el yum remove firewalld mando.

Importante:

  • Hacemos no le recomendamos que utilice estos ejemplos para sus configuraciones personales. En cambio, haz cierto que las reglas de su firewall coincidan con la forma en que utiliza los servicios de cPanel & WHM.
  • Los servidores CentOS 7, CloudLinux ™ 7 y Red Hat® Enterprise Linux (RHEL) 7 tienen requisitos adicionales. Para obtener más información, lea el Sección de administración de firewall de CentOS 7, CloudLinux 7 y RHEL 7 debajo.

Seguridad y cortafuegos de ConfigServer

ConfigServer proporciona el complemento CSF ​​gratuito de WHM, que le permite modificar su iptables reglas dentro de WHM. Para obtener información sobre cómo instalar y configurar CSF, lea nuestro Software de seguridad adicional documentación.

Cortafuegos de política avanzada

APF actúa como una interfaz de usuario para el iptables aplicación, y le permite abrir o cerrar puertos sin el uso de la iptables sintaxis.

El siguiente ejemplo incluye dos reglas que puede agregar al /etc/apf/conf.apf archivo para permitir el acceso HTTP y HTTPS a su sistema:

1
2
3
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443"
EG_TCP_CPORTS="80"

iptables

los iptables La aplicación ofrece más configuraciones de personalización para sus reglas de filtrado de paquetes. Esta aplicación requiere que comprenda la pila de TCP / IP. Para obtener más información sobre el uso de iptables, visita el sitio de iptables, o ejecuta el man iptables comando desde la línea de comando.

El siguiente ejemplo incluye iptables reglas para el tráfico HTTP en el puerto 80:

1
2
$IPTABLES -A FORWARD -p TCP -i 66.66.66.66 -o eth0 -d 192.168.1.1 -dport 80 -j allowed
$IPTABLES -A FORWARD -p ICMP -i 66.66.66.66 -o eth0 -d 192.168.1.1 -j icmp_packets

Nota:

  • Este ejemplo asume que existe una DMZ en eth0 Para el 192.168.1.1 puerto, y el 66.66.66.66 dirección IP de transmisión.

Administración de firewalls CentOS, CloudLinux ™ o Red Hat® Enterprise Linux (RHEL) 6 o Amazon Linux

En un sistema CentOS, CloudLinux o RHEL 6, o Amazon® Linux, use el iptables utilidad para administrar su firewall.

  • Puede bloquear una dirección IP específica con el iptables mando. Por ejemplo, para bloquear la dirección IPv4 192.168.0.0, ejecute el siguiente comando:

    iptables -A INPUT -s 192.168.0.0 -j DROP
    

    Para bloquear la dirección IPv6 2001:0db8:0:0:1:0:0:1, ejecute el siguiente comando:

    iptables -A INPUT -s [2001:0db8:0:0:1:0:0:1] -j DROP
    
  • Puede bloquear un puerto específico para una dirección IP. Por ejemplo, para bloquear el puerto 23 en la dirección IPv4 192.168.0.0, ejecute el siguiente comando:

    iptables -A INPUT -s 192.168.0.0 -p tcp --destination-port 23 -j DROP
    

    Para bloquear el puerto 23 en la dirección IPv6 2001:0db8:0:0:1:0:0:1, ejecute el siguiente comando:

    iptables -A INPUT -s [2001:0db8:0:0:1:0:0:1] -p tcp --destination-port 23 -j DROP
    

Gestión de firewall CentOS 7, CloudLinux 7 y RHEL 7

Nosotros fuertemente Recomendamos que los servidores que ejecutan los sistemas operativos CentOS 7, CloudLinux 7 y RHEL 7 utilicen la firewalld demonio en lugar de iptables programas o servicios heredados en esos sistemas operativos.

Por ejemplo, para bloquear el tráfico de una única dirección IPv4, ejecute el siguiente comando, donde 192.168.0.0 es la dirección IPv4 que desea bloquear:

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.0.0" drop" --permanent

Para bloquear el tráfico de una sola dirección IPv6, ejecute el siguiente comando, donde 2001:0db8:0:0:1:0:0:1 es la dirección IPv6 que desea …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *