A idéia com csf, como a maioria das configurações de firewall do iptables , é bloquear tudo e, em seguida, permitir somente as conexões que você deseja. Isso é feito no iptables DROPPING todas as conexões dentro e fora do servidor em todos os protocolos.
Após a instalação bem-sucedida do CSF, você precisa desativar o modo TESTING para trabalhar o CSF corretamente em seu servidor.
Você pode alterá-lo do próprio arquivo de configuração.
[root@server#] nano /etc/csf/csf.conf
Em seguida, altere o valor de 'TESTING' de 1 para 0 |
Alguns comandos CSF úteis para gerenciar o firewall do servidor. 1. Habilite csf e lfd se desativado anteriormente
2. Desative csf e lfd completamente
3. Reinicie as regras do firewall
4. Inicie as regras do firewall
5. Flush/Stop regras do firewall (Nota: lfd pode reiniciar csf)
6.Mostrar a configuração do iptables IPv4
7. Mostrar a configuração IPv6 ip6tables
Você deve ter algumas idéias sobre os seguintes arquivos de configuração para usar outros comandos csf.
csf.conf : Arquivo de configuração para controle de CSF.
csf.allow : lista de endereços IP e CIDR permitidos no firewall.
csf.deny : lista de endereços IP e CIDR negada no firewall.
csf.ignore : lista de endereços IP e CIDR ignorados no firewall.
csf. * ignore : A lista de vários arquivos ignorados de usuários, IPs.
|
8. Permitir um IP e adicionar a /etc/csf/csf.allow
csf -a ip [comment]
Ou
csf --add ip [comment]
|
Você pode adicionar seus comentários no suporte quadrado. Veja o exemplo abaixo:
[root@server#] # csf -a 6x.8xx.1x2.8x [Meu servidor]
Adicionando 6x.8xx.1x2.8x para csf.allow e iptables ACEITAR ...
ACEITE tudo opt-in! Lo out * 6x.8xx.1x2.8x -> 0.0.0.0/0
ACEITE todos os opt-in * out! Lo 0.0.0.0/0 -> 6x.8xx.1x2.8x
|
6x.8xx.1 × 2.8x – é o endereço IP e ‘Meu servidor’ dentro do suporte quadrado é o comentário. Você pode verificar o arquivo /etc/csf/csf.allow para obter mais detalhes:
[root@server#] # grep 6x.8xx.1x2.8x /etc/csf/csf.allow
------
6x.8xx.1x2.8x # [Meu servidor] - Qui 19 de dezembro 23:16:27 2013
|
9. Remova um IP de /etc/csf/csf.allow e exclua a regra
csf -ar
Ou
csf --addrm ip
|
10. Negar um IP e adicionar a /etc/csf/csf.deny
csf -d
Ou
csf --deny ip [comment]
|
11. Desbloqueie um IP e remova de /etc/csf/csf.deny
csf -dr
Ou
csf --denyrm ip
|
12. Remova e desbloqueie todas as entradas em /etc/csf/csf.deny
13. Pesquise as regras iptables e ip6tables para uma correspondência (por exemplo, IP, CIDR, Número da porta)
Exemplo:
[root@server#] # csf -g 6x.8xx.1x2.8x
Chain num pkts bytes target prot opt in out source destination
ALLOWIN 1 0 0 ACEITE tudo -! Lo * 6x.8xx.1x2.8x 0.0.0.0/0
ALLOWOUT 1 0 0 ACEITE tudo - *! Lo 0.0.0.0/0 6x.8xx.1x2.8x
|
Permissão ou recusa temporária de IP: os seguintes comandos csf estão usando para permitir ou negar um endereço IP temporário do nosso servidor. 14. Exibe a lista atual de permissão temporária e negar entradas de IP com seu TTL e comentário
15. Adicionar um IP à lista de permissões IP temporais (padrão: inout)
csf -ta ip ttl [-p port] [-d direction] [comment]
Ou
csf --tempallow ip ttl [-p port] [-d direction] [comment]
|
Onde ttl é o tempo de vida em segundos (Valor padrão: 3600) Exemplo:
[root@server#]# csf -ta 66.8x.1xx.xx
ACEITE tudo opt-in! Lo out * 66.8x.1xx.xx -> 0.0.0.0/0
ACEITE tudo opt-in * out! Lo 0.0.0.0/0 -> 66.8x.1xx.xx
csf: 66.8x.1xx.xx permitido na porta * por 3600 segundos dentro e fora
|
16. Adicione um IP à lista de proibição de IP temporária.
csf -td ip ttl [-p port] [-d direction] [comment]
Ou
csf --tempdeny ip ttl [-p port] [-d direction] [comment]
|
Exemplo:
[root@server#] csf -td 66.8x.1xx.xx
DROP all opt-in! Lo out * 66.8x.1xx.xx -> 0.0.0.0/0
csf: 66.8x.1xx.xx bloqueado na porta * por 3600 segundos de entrada
|
17. Remova um IP da proibição temporária de IP ou permita a lista
csf -tr
Ou
csf --temprm ip
|
18. Elimine todos os IPs das entradas de IP temporárias
19. Comandos gerais:
csf -v Ou csf --versão: mostra a versão csf
csf -c Ou csf - cheque: verifique se há atualizações para csf mas não atualizam
csf-u Ou csf --update: verifique se há atualizações para csf e atualizar se disponível
csf -h Ou csf - ajuda: para ajuda
|