آموزش نصب فایروال CSF
در این آموزش ما به شما آموزش خواهیم داد که چگونه فایروال CSF را در محیط لینوکس نصب و کانفیگ کنید، فایروال CSF بهترین فایروال نرم افزاری برای سرورهای لینوکس ارائه دهنده خدمات میزبانی وب می باشد. بیشتر شرکت های میزبانی وب از این فایروال استفاده میکنند. از مزیت های این فایروال میتوان به امکانات عالی آن و رایگان بودنش اشاره کرد، همچنین نیازی به تهیه ی لایسنس ندارد.
نصب و کانفیگ فایروال CSF
در ابتدا باید توجه داشته باشید که Perl و libwww پیش نیاز های نصب فایروال CSF هستند. در صورتیکه نصب نیستند میتوانید از کد زیر برای نصب استفاده کنید:
yum install perl-libwww-perl
apt install libwww-perl
مراحل نصب به گونه ی زیر است:
1. دانلود فایروال CSF
cd /usr/src
wget https://download.configserver.com/csf.tgz
2. استخراج CSF tarball
tar xzf csf.tgz
cd csf
3. اجرای اسکریپت نصب CSF
این بخش از فرآیند بررسی میکند که تمام وابستگیها نصب شدهاند، ساختارها و فایلهای دایرکتوری لازم را برای رابط وب ایجاد میکند، پورتهای باز فعلی را شناسایی میکند و به شما یادآوری میکند که پس از انجام تنظیمات اولیه، فرآیندهای پس زمینه csf و lfd را مجددا راهاندازی کنید.
sh install.sh
perl /usr/local/csf/bin/csftest.pl
خروجی کد بالا باید بصورت زیر باشد:
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
4. غیرفعال کردن فایروال و کانفیگ (پیکربندی) CSF
اگر فایروال شما در حال اجرا است باید آن را غیرفعال کنید و CSF را کانفیگ کنید.
systemctl stop firewalld
systemctl disable firewalld
- در ادامه باید “TESTING= “1 را به “TESTING= “0 تغییر دهید ، اگر این کار را انجام ندهید فرایند پس زمینه lfd شروع به کار نخواهد کرد.
- یک لیست از پورت های ورودی و خروجی که در etc/csf/csf.conf/ مجاز می داند را به صورت زیر بنویسید (توجه داشته باشید که باید به ترتیب TCP_IN و TCP_OUT نوشته شوند).
Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab
lfd will not start while this is enabled
TESTING = "0"
Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
هنگامیکه کانفیگ درست شد ، تغیررات را ذخیره کنید و به خط فرمان برگردید.
5. ریاستارت کردن و تست CSF
systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v
در این مرحله ما آماده هستیم تا راه اندازی فایروال و قوانین تشخیص نفوذ را همانطور که در ادامه توضیح داده شد آغاز کنیم.
راه اندازی فایروال و قوانین تشخیص نفوذ
ابتدا باید قوانین فایروال فعلی را بررسی کنید، برای بررسی باید کد زیر را اجرا کنید :
csf -l
شما همچنین میتوانید آن ها را متوقف یا دوباره بارگذاری کنید:
csf -f
csf -r
برای بررسی پس از ایجاد تغییرات و راهاندازی مجدد csf و lfd به این عملیات ها نیاز خواهید داشت:
مثال 1 – مجاز یا ممنوع کردن آدرس های IP
برای اجازه دادن به یک آی پی به عنوان مثال آی پی 192.168.0.10 نیاز به کد زیر داریم:
csf -a 192.168.0.10
برای لغو دسترسی یک آی پی ، به عنوان مثال 192.168.0.11 باید کد زیر را اجرا کنید:
csf -d 192.168.0.11
اگر بخواهید هر یک از قوانینی که در بالا ایجاد کردید را حذف کنید، میتوانید کد زیر را اجرا کنید:
csf -ar 192.168.0.10
csf -dr 192.168.0.11
مثال 2 – محدود کردن کانکشن های ورودی بر اساس منبع
اگر بخواهید اتصالات ورودی را به یک شماره ایمن بر اساس پورت محدود کنید. برای این کار باید etc/csf/csf.conf/ را باز کنید و CONNLIMIT را سرچ کنید. اگر میخواهید چند پورت را تغییر دهید باید به صورت زیر عمل کنید:
CONNLIMIT = "22;2,80;10"
در کد بالا یعنی به 2 ورودی از درگاه 22 و 10 ورودی از درگاه 80 اجازه میدهد.
مثال 3 – ارسال هشدار از طریق ایمیل
چندین نوع هشدار وجود دارد که شما میتوانید با جستجو etc/csf/csf.conf/ و بررسی تنظیمات EMAIL_ALERT مطمئن شوید برای دریافت تنظیمات دریافت ایمیل روی “1” تنظیم شده اند.
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"
هر بار که شخصی از طریق SSH وارد سیستم میشود یا با استفاده از دستور su به حساب دیگری سوئیچ میکند، هشداری به آدرس مشخص شده در LF_ALERT_TO ارسال میشود.
گزینه های کانفیگ CSF و کابرد آن
این گزینه های زیر برای تغییر و کنترل پیکربندی csf استفاده می شود. تمام فایل های پیکربندی csf در زیر پوشه etc/csf/ قرار دارند. اگر هر یک از فایل های زیر را تغییر دهید، برای اعمال تغییرات باید پس زمینه csf را مجددا راه اندازی کنید.
csf.conf
فایل پیکربندی اصلی برای کنترل CSF.
csf.allow
لیست IP و آدرس های CIDR مجاز در فایروال.
csf.deny
لیست آدرس های IP و CIDR غیر مجاز در فایروال.
csf.ignore
لیستی از آدرس های IP و CIDR نادیده گرفته شده در فایروال.
csf.*ignore
لیستی از انواع فایل های نادیده گرفته شده کاربران و IP ها
حذف فایروال CFS
اگر میخواهید کاملا فایروال CSF را حذف کنید ، کد زیر را اجرا کنید:
/etc/csf/uninstall.sh
دستور بالا فایروال CSF را با تمام فایل ها و پوشه ها به طور کامل پاک می کند.
به این مقاله امتیاز دهید!
میانگین امتیاز 0 / 5. تعداد رأی ها : 0
هنوز هیچ رأیی داده نشده. اولین نفر باشید!
اولین دیدگاه را اضافه کنید.