Como Configurar o Firewall CSF em seu Servidor imprimir

  • 0

Configuração

 

Primeiro execute o seguinte comando que você tem todos os módulos necessários para a execução do iptables disponíveis CSF completo. Não se preocupe se você não pode executar todos os recursos, contanto que o script não relatar quaisquer erros fatais

[Root @ server1 csf] # perl / etc / csf / csftest.pl 
ip_tables Testes / iptable_filter ... OK 
Testing ipt_LOG ... OK 
Testing ipt_multiport / xt_multiport ... OK 
Testing ipt_REJECT ... OK 
ipt_state Testes / xt_state ... OK 
ipt_limit Testes / xt_limit ... OK 
ipt_recent Teste OK ... 
ipt_owner teste ... OK 
iptable_nat Testes / ipt_REDIRECT ... OK

RESULTADO: csf deve funcionar no servidor

Parece OK 100%.

Agora, se você estiver executando o firewall apf_bfd, ele tem que ser removido para obras CSF.

[Root @ server1 csf] # sh / etc / csf / remove_apf_bfd.sh 
Remoção apf e / ou bfd ...

/ Etc / csf / remove_apf_bfd.sh: Linha 5: apf: comando não encontrado 
informações de erro de leitura no serviço apf: Nenhum arquivo ou diretório 
erro de leitura informações sobre o serviço apf: Nenhum arquivo ou diretório

Feito ...

se eu não usá-lo, não tão encontrado.

Agora para configurar csf config para implementar firewall de acordo com a nossa necessidade.

 

 

[root@server1 csf]# vi /etc/csf/csf.conf

 

 

A TAG seguinte será executado csf em Testando o modo como se por engano bloquear a nós mesmos para fora, ele irá liberar todas as regras de firewall em 5 minutos para chegar em e fixas.

TESTE = "1"

 

Vamos mudar isso para zero "0" quando nós terminamos e certeza de que temos todas as regras para a direita dentro

Coloque as suas portas todos os que você quer ser aberto em seu servidor para o tráfego de entrada separadas por vírgula.

 

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

 

Também abrir qualquer porta que você quer para o tráfego de saída

 

TCP_OUT = "20,21,22,25,53,80,110,113,443"

 

O mesmo vale para UDP_IN e UDP_OUT, seja lembrar se você estiver executando o serviço de DNS, então você tem que abrir a porta 53 em UDP_IN como DNS porta 53 corridas em UDP em vez de TCP

UDP_IN = "20,21,53"

 

Para permitir a saída traceroute 33434:33523 adicionar a esta lista

UDP_OUT = "20,21,53,113,123,33434:33523"

 

Se você gosta de pessoas ping seu servidor sem qualquer timout de mudança de valor seguindo a zero "0", porque padrão de ping valor limite de 1 por segundo, o que pode mostrar-lhe o ping tempo limite e você pode ter a impressão de que seu servidor está descartando pacotes.

 

ICMP_IN_RATE = "0"

 

Proteção Synflood já está habilitado e se você quiser mudar o valor da taxa ou BURST você pode usar as seguintes linhas para coincidir com o seu tráfego.

 

 

 

SYNFLOOD = “0″
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150″

 

 

Atualmente a taxa é de 100 / s BURST e pode até 150. Isso pode ser varry de servidor para servidor.

Para proteger o servidor de qualquer porta específica de ataques DOS, você pode defini-lo em tag PORTFLOOD. Esta opção limita o número de ligações por intervalo de tempo que novas ligações podem ser feitas a portas específicas.

Por padrão o seu vazio e eu gostava de limite de 20 conexões por 5 segundos para a porta 80 (servidor web).

 

PORTFLOOD = “80;tcp;20;5″

 

Ele define proteger porto funcionamento 80 sobre protocolo TCP, 20 ligações por 5 segundos. Use o mesmo para mais portas seguidos por dois pontos Semmi;.

Definir endereço de e-mail para que você precisa para receber alertas e definir o endereço de e-mail para o qual você deseja obter.

 

LF_ALERT_TO = "hostmaster@eloshost.com.br"

LF_ALERT_FROM = "csf@eloshost.com.br"

 

Isto irá implementar firewall mais do que você precisa. Ele tem toneladas de opções e você pode editar csf.conf para sua necessidade.

Após este salvar o arquivo e reiniciar o serviço de CSF.

 

[root@server1 csf]#  /etc/init.d/csf restart

 

 

Susto de comandos grandes iptables funcionando em 

Ok começar Testando modo e agora você tem que verificar regras implementar corretamente ou não, e se você acidentalmente bloquear a si mesmo, aguarde 5 minutos e depois relogin para corrigi-lo.

Se você concluiu com configuation e certeza de que a cada regras é implementado corretamente, então mudar Teste 1-0 para CSF funcionam permanentemente.

 

TESTING = “0″

e reiniciar o serviço novamente para ativá-lo.

[root@server1 csf]#  /etc/init.d/csf restart

 

Para permitir que os endereços IP através de iptables inserção, um IP por linha. Se quiser permitir que completa bloco uso notação CIDR

 

[root@server1 csf]# vi /etc/csf/csf.allow

192.168.0.1
192.168.1.0/24

 

Estes IP também deve ser definir em / etc / csf / csf.ignore a ser de ignorar daemon lfd da verificação.

Para negar endereços IP será permitido através do iptables, um endereço IP por linha. Se querem negar completa bloco uso notação CIDR

 

[root@server1 csf]# vi /etc/csf/csf.deny

192.168.0.5 #do not delete

 

# não exclua opção irá dizer csf para igonore o DENY_IP_LIMIT tag e não excluir ip deste arquivo.

Agora você tem a instalação de firewall completo de recursos e funcionando sem qualquer erro. O trabalho que você tem que fazer agora é voltar a ler / etc / csf / csf.conf arquivo completo e veja todas as opções que dá e mudar de acordo com sua necessidade firewall. Espero que agora facilmente editá-lo e fazer mais com ele. Se você precisar de alguma ajuda, por favor comentários para beneficiar a todos.


Esta resposta lhe foi útil?

« Retornar