نصب فایروال CSF

آموزش نصب فایروال CSF

در این آموزش ما به شما آموزش خواهیم داد که چگونه فایروال CSF را در محیط لینوکس نصب و کانفیگ کنید، فایروال CSF بهترین فایروال نرم افزاری برای سرورهای لینوکس ارائه دهنده خدمات میزبانی وب می باشد. بیشتر شرکت های میزبانی وب از این فایروال استفاده می‌کنند. از مزیت های این فایروال می‌توان به امکانات عالی آن و رایگان بودنش اشاره کرد، همچنین نیازی به تهیه ی لایسنس ندارد.

فایروال CSF
اگر به بحث امنیت شبکه و چگونگی محافظت از آن علاقه دارید ، می‌توانید با بدافزار (Malware) در وبلاگ پویان آی تی آشنا شوید.

نصب و کانفیگ فایروال CSF

در ابتدا باید توجه داشته باشید که Perl و libwww پیش نیاز های نصب فایروال CSF هستند. در صورتیکه نصب نیستند می‌توانید از کد زیر برای نصب استفاده کنید:

				
					yum install perl-libwww-perl
apt install libwww-perl
				
			

مراحل نصب به گونه ی زیر است:

1. دانلود فایروال CSF

				
					cd /usr/src
wget https://download.configserver.com/csf.tgz
				
			

2. استخراج CSF tarball

				
					tar xzf csf.tgz
cd csf
				
			

3. اجرای اسکریپت نصب CSF

این بخش از فرآیند بررسی می‌کند که تمام وابستگی‌ها نصب شده‌اند، ساختارها و فایل‌های دایرکتوری لازم را برای رابط وب ایجاد می‌کند، پورت‌های باز فعلی را شناسایی می‌کند و به شما یادآوری می‌کند که پس از انجام تنظیمات اولیه، فرآیندهای پس زمینه csf و lfd را مجددا راه‌اندازی کنید.

				
					sh install.sh
perl /usr/local/csf/bin/csftest.pl
				
			

خروجی کد بالا باید بصورت زیر باشد:

				
					Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server
				
			

4. غیرفعال کردن فایروال و کانفیگ (پیکربندی) CSF

اگر فایروال شما در حال اجرا است باید آن را غیرفعال کنید و CSF را کانفیگ کنید.

				
					systemctl stop firewalld
systemctl disable firewalld
				
			
  • در ادامه باید “TESTING= “1 را به “TESTING= “0 تغییر دهید ، اگر این کار را انجام ندهید فرایند پس زمینه lfd شروع به کار نخواهد کرد.
  • یک لیست از پورت های ورودی و خروجی که در etc/csf/csf.conf/ مجاز می داند را به صورت زیر بنویسید (توجه داشته باشید که باید به ترتیب TCP_IN و TCP_OUT نوشته شوند).
				
					Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab

lfd will not start while this is enabled
TESTING = "0"

Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
				
			

هنگامیکه کانفیگ درست شد ، تغیررات را ذخیره کنید و به خط فرمان برگردید.

5. ری‌استارت کردن و تست CSF

				
					systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v
				
			

در این مرحله ما آماده هستیم تا راه اندازی فایروال و قوانین تشخیص نفوذ را همانطور که در ادامه توضیح داده شد آغاز کنیم.

راه اندازی فایروال و قوانین تشخیص نفوذ

ابتدا باید قوانین فایروال فعلی را بررسی کنید، برای بررسی باید کد زیر را اجرا کنید :

				
					csf -l
				
			

شما همچنین می‌توانید آن ها را متوقف یا دوباره بارگذاری کنید:

				
					csf -f
csf -r
				
			

برای بررسی پس از ایجاد تغییرات و راه‌اندازی مجدد csf و lfd به این عملیات ها نیاز خواهید داشت:

مثال 1 – مجاز یا ممنوع کردن آدرس های IP

برای اجازه دادن به یک آی پی به عنوان مثال آی پی 192.168.0.10 نیاز به کد زیر داریم:

				
					csf -a 192.168.0.10
				
			

برای لغو دسترسی یک آی پی ، به عنوان مثال 192.168.0.11 باید کد زیر را اجرا کنید:

				
					csf -d 192.168.0.11
				
			

اگر بخواهید هر یک از قوانینی که در بالا ایجاد کردید را حذف کنید، می‌توانید کد زیر را اجرا کنید:

				
					csf -ar 192.168.0.10
csf -dr 192.168.0.11
				
			

مثال 2 – محدود کردن کانکشن های ورودی بر اساس منبع

اگر بخواهید اتصالات ورودی را به یک شماره ایمن بر اساس پورت محدود کنید. برای این کار باید etc/csf/csf.conf/ را باز کنید و CONNLIMIT را سرچ کنید. اگر می‌خواهید چند پورت را تغییر دهید باید به صورت زیر عمل کنید:

				
					CONNLIMIT = "22;2,80;10"
				
			

در کد بالا یعنی به 2 ورودی از درگاه 22 و 10 ورودی از درگاه 80 اجازه می‌دهد.

مثال 3 – ارسال هشدار از طریق ایمیل

چندین نوع هشدار وجود دارد که شما می‌توانید با جستجو etc/csf/csf.conf/ و بررسی تنظیمات EMAIL_ALERT مطمئن شوید برای دریافت تنظیمات دریافت ایمیل روی “1” تنظیم شده اند.

				
					LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"
				
			

هر بار که شخصی از طریق SSH وارد سیستم می‌شود یا با استفاده از دستور su به حساب دیگری سوئیچ می‌کند، هشداری به آدرس مشخص شده در LF_ALERT_TO ارسال می‌شود.

گزینه های کانفیگ CSF و کابرد آن

این گزینه های زیر برای تغییر و کنترل پیکربندی csf استفاده می شود. تمام فایل های پیکربندی csf در زیر پوشه etc/csf/ قرار دارند. اگر هر یک از فایل های زیر را تغییر دهید، برای اعمال تغییرات باید پس زمینه csf را مجددا راه اندازی کنید.

csf.conf

فایل پیکربندی اصلی برای کنترل CSF.

csf.allow

لیست IP و آدرس های CIDR مجاز در فایروال.

csf.deny

لیست آدرس های IP و CIDR غیر مجاز در فایروال.

csf.ignore

لیستی از آدرس های IP و CIDR نادیده گرفته شده در فایروال.

csf.*ignore

لیستی از انواع فایل های نادیده گرفته شده کاربران و IP ها

حذف فایروال CFS

اگر می‌خواهید کاملا فایروال CSF را حذف کنید ، کد زیر را اجرا کنید:

				
					/etc/csf/uninstall.sh
				
			

دستور بالا فایروال CSF را با تمام فایل ها و پوشه ها به طور کامل پاک می کند.

به این مقاله امتیاز دهید!

میانگین امتیاز 0 / 5. تعداد رأی ها : 0

هنوز هیچ رأیی داده نشده. اولین نفر باشید!

اشتراک گذاری اشتراک گذاری در تلگرام اشتراک گذاری در لینکدین اشتراک گذاری در ایکس کپی کردن لینک پست

و در ادامه بخوانید

اولین دیدگاه را اضافه کنید.

برچسب ها

لینوکس فایروال