Configuração
Primeiro execute o seguinte comando que você tem todos os módulos necessários para a execução do iptables disponíveis CSF completo. Não se preocupe se você não pode executar todos os recursos, contanto que o script não relatar quaisquer erros fatais
[Root @ server1 csf] # perl / etc / csf / csftest.pl
ip_tables Testes / iptable_filter ... OK
Testing ipt_LOG ... OK
Testing ipt_multiport / xt_multiport ... OK
Testing ipt_REJECT ... OK
ipt_state Testes / xt_state ... OK
ipt_limit Testes / xt_limit ... OK
ipt_recent Teste OK ...
ipt_owner teste ... OK
iptable_nat Testes / ipt_REDIRECT ... OK
RESULTADO: csf deve funcionar no servidor
Parece OK 100%.
Agora, se você estiver executando o firewall apf_bfd, ele tem que ser removido para obras CSF.
[Root @ server1 csf] # sh / etc / csf / remove_apf_bfd.sh
Remoção apf e / ou bfd .../ Etc / csf / remove_apf_bfd.sh: Linha 5: apf: comando não encontrado
informações de erro de leitura no serviço apf: Nenhum arquivo ou diretório
erro de leitura informações sobre o serviço apf: Nenhum arquivo ou diretórioFeito ...
se eu não usá-lo, não tão encontrado.
Agora para configurar csf config para implementar firewall de acordo com a nossa necessidade.
[root@server1 csf]# vi /etc/csf/csf.conf
A TAG seguinte será executado csf em Testando o modo como se por engano bloquear a nós mesmos para fora, ele irá liberar todas as regras de firewall em 5 minutos para chegar em e fixas.
TESTE = "1"
Vamos mudar isso para zero "0" quando nós terminamos e certeza de que temos todas as regras para a direita dentro
Coloque as suas portas todos os que você quer ser aberto em seu servidor para o tráfego de entrada separadas por vírgula.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
Também abrir qualquer porta que você quer para o tráfego de saída
TCP_OUT = "20,21,22,25,53,80,110,113,443"
O mesmo vale para UDP_IN e UDP_OUT, seja lembrar se você estiver executando o serviço de DNS, então você tem que abrir a porta 53 em UDP_IN como DNS porta 53 corridas em UDP em vez de TCP
UDP_IN = "20,21,53"
Para permitir a saída traceroute 33434:33523 adicionar a esta lista
UDP_OUT = "20,21,53,113,123,33434:33523"
Se você gosta de pessoas ping seu servidor sem qualquer timout de mudança de valor seguindo a zero "0", porque padrão de ping valor limite de 1 por segundo, o que pode mostrar-lhe o ping tempo limite e você pode ter a impressão de que seu servidor está descartando pacotes.
ICMP_IN_RATE = "0"
Proteção Synflood já está habilitado e se você quiser mudar o valor da taxa ou BURST você pode usar as seguintes linhas para coincidir com o seu tráfego.
SYNFLOOD = “0″
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150″
Atualmente a taxa é de 100 / s BURST e pode até 150. Isso pode ser varry de servidor para servidor.
Para proteger o servidor de qualquer porta específica de ataques DOS, você pode defini-lo em tag PORTFLOOD. Esta opção limita o número de ligações por intervalo de tempo que novas ligações podem ser feitas a portas específicas.
Por padrão o seu vazio e eu gostava de limite de 20 conexões por 5 segundos para a porta 80 (servidor web).
PORTFLOOD = “80;tcp;20;5″
Ele define proteger porto funcionamento 80 sobre protocolo TCP, 20 ligações por 5 segundos. Use o mesmo para mais portas seguidos por dois pontos Semmi;.
Definir endereço de e-mail para que você precisa para receber alertas e definir o endereço de e-mail para o qual você deseja obter.
LF_ALERT_TO = "hostmaster@eloshost.com.br"
LF_ALERT_FROM = "csf@eloshost.com.br"
Isto irá implementar firewall mais do que você precisa. Ele tem toneladas de opções e você pode editar csf.conf para sua necessidade.
Após este salvar o arquivo e reiniciar o serviço de CSF.
[root@server1 csf]# /etc/init.d/csf restart
Susto de comandos grandes iptables funcionando em
Ok começar Testando modo e agora você tem que verificar regras implementar corretamente ou não, e se você acidentalmente bloquear a si mesmo, aguarde 5 minutos e depois relogin para corrigi-lo.
Se você concluiu com configuation e certeza de que a cada regras é implementado corretamente, então mudar Teste 1-0 para CSF funcionam permanentemente.
TESTING = “0″
e reiniciar o serviço novamente para ativá-lo.
[root@server1 csf]# /etc/init.d/csf restart
Para permitir que os endereços IP através de iptables inserção, um IP por linha. Se quiser permitir que completa bloco uso notação CIDR
[root@server1 csf]# vi /etc/csf/csf.allow
192.168.0.1
192.168.1.0/24
Estes IP também deve ser definir em / etc / csf / csf.ignore a ser de ignorar daemon lfd da verificação.
Para negar endereços IP será permitido através do iptables, um endereço IP por linha. Se querem negar completa bloco uso notação CIDR
[root@server1 csf]# vi /etc/csf/csf.deny
192.168.0.5 #do not delete
O # não exclua opção irá dizer csf para igonore o DENY_IP_LIMIT tag e não excluir ip deste arquivo.
Agora você tem a instalação de firewall completo de recursos e funcionando sem qualquer erro. O trabalho que você tem que fazer agora é voltar a ler / etc / csf / csf.conf arquivo completo e veja todas as opções que dá e mudar de acordo com sua necessidade firewall. Espero que agora facilmente editá-lo e fazer mais com ele. Se você precisar de alguma ajuda, por favor comentários para beneficiar a todos.