Настройка внешнего интерфейса CSF Firewall для IPTables

by Опубликовано

Брандмауэры, которые обычно не используются домашними пользователями, но, вероятно, являются одним из наиболее важных аспектов защиты вашей машины; Когда-либо.

У пользователей Windows есть ОГРОМНЫЙ набор возможностей, но GNU / Linux не так гибок с точки зрения предоставления вам тысячи и одного варианта.

К счастью, в большинство систем встроен мощный межсетевой экран IPTables. Тем не менее, IPTables может быть сложной задачей для людей, которые нужно настроить и научиться использовать, к счастью, есть интерфейсы и другие инструменты, которые могут значительно облегчить настройку очень мощного межсетевого экрана для конечного пользователя.

CSF, или ConfigServer and Firewall, является одним из таких интерфейсов IPTables и сам по себе является абсолютным источником энергии, но при этом поддерживает гораздо более простую настройку.

МНОГИЕ Дистрибутивы поставляются с графическими интерфейсами брандмауэра, включенными в систему, но для странных, которых нет, или если вы настраиваете брандмауэр в текстовой системе, такой как VPS, или вы просто решили отказаться от графического интерфейса. окружающая среда в целом; это для тебя.

Для этого я настраиваю CSF на одном из своих VPS через текстовую среду через SSH, поэтому абсолютно необходимо, чтобы у вас были некоторые базовые навыки и понимание того, как использовать среду терминала в вашей системе, если вы хотите следовать точные шаги, которые я предприму.

Заметка : Вы могли бы сделать подавляющее большинство из этого, если не все, используя графическую среду, но я лично все же предпочел бы делать это через командную строку, потому что я считаю, что намного быстрее делать простые вещи, такие как извлечение, копирование, вставка, редактирование текста. и т. д. через терминал; но выбор в конечном итоге за вами. Просто знайте, что это руководство строго текстовое.

Установка CSF

Домашняя страница CSF

Первый шаг — загрузить архив с сайта CSF. https://configserver.com/cp/csf.html

Первое, что вам нужно сделать, это перейти к папке, в которую вы собираетесь загрузить CSF с правами root.

  • вс
  • cd / usr / src

Затем скачайте архив

  • wget https://download.configserver.com/csf.tgz

А затем нам нужно распаковать архив

  • tar -xzf csf.tgz

Перейти в новый каталог

  • cd csf

И запускаем установочный скрипт

  • sh install.sh

Затем нам нужно проверить, установлены ли в нашей системе все необходимые модули IPTables. Некоторые из них могут не быть установлены, но если следующий сценарий не выдает -Fatal Error-, то все готово.

  • perl /usr/local/csf/bin/csftest.pl

Надеюсь, вы получите такое сообщение: «РЕЗУЛЬТАТ: csf должен работать на этом сервере».

В случае возникновения фатальных ошибок это, вероятно, означает, что IPTables либо не установлен, либо не запущен / не загружен в ядро; просмотрите документацию / форумы / результаты поисковой системы, чтобы установить или запустить IPTables для выбранного вами дистрибутива.

При этом CSF установлен! Однако на самом деле это еще не -DOING- ничего, поэтому нам нужно его настроить.

Для этого нам просто нужно отредактировать один файл, пусть и длинный, он достаточно хорошо прокомментирован и задокументирован, и относительно прост, если у вас есть какие-либо знания о работе в сети или о том, как Интернет и ваша система работают вместе. Для тех из вас, кто, например, не знает, что такое порты, это может быть немного выше вашей головы, и я настоятельно рекомендую ознакомиться с некоторыми статьями по этой теме, прежде чем углубляться в подробности.

Настройка CSF

Давайте начнем с открытия файла конфигурации CSF в вашем любимом текстовом редакторе. Я лично использую Nano для таких вещей.

  • нано /etc/csf/csf.conf

Первое, что вы увидите, это следующее, и совершенно необходимо, чтобы вы не играли с этой настройкой, пока мы полностью не закончим!

###############################################################################

№ РАЗДЕЛ: Начальные настройки

###############################################################################

# Флаг тестирования — включает задание CRON, которое очищает iptables в случае

# проблемы с конфигурацией при запуске csf. Это должно быть включено, пока вы

# уверены, что брандмауэр работает — т. е. если вы заблокированы

# сервер! Затем не забудьте установить его на 0 и перезапустить csf, когда вы уверены

# все отлично. Остановка csf удалит строку из / etc / crontab

#

# lfd не запускается, пока он включен

ТЕСТИРОВАНИЕ = «1»

В основном, если оставить его включенным (1 = включено, 0 = выключено), вы не заблокируете свою систему из-за неправильной настройки брандмауэра. Убедившись, что все работает должным образом, вы можете отключить это.

Далее следуют некоторые настройки, относящиеся к системному журналу, я рекомендую вам просто прокрутить мимо них, поскольку они установлены по умолчанию для большинства случаев, и прокручивайте, пока не увидите:

# РАЗДЕЛ: Настройки порта IPv4

CSF по умолчанию будет знать обо всех портах, используемых в настоящее время, и соответствующим образом настроится. Например, на этом VPS я размещаю ряд сервисов от серверов VoIP до игровых серверов для нескольких клиентов моего игрового клана, и CSF разобрался с этим для меня.

# Разрешить входящие TCP-порты

TCP_IN = «10011,20,21,22,25,53,25639,80,110,143,443,465,587,993,995,9987,8080,8181»

# Разрешить исходящие TCP-порты

TCP_OUT = «25639,10011,20,21,22,25,53,80,110,113,443,587,993,995,8080,8081,9987»

# Разрешить входящие порты UDP

UDP_IN = «20,21,25639,10011,53,9987»

# Разрешить исходящие порты UDP

# Чтобы разрешить исходящую трассировку, добавьте в этот список 33434: 33523

UDP_OUT = «20,21,53,25639,113,10011,9987,123»

Как видите, ряду портов TCP и UDP уже разрешен проход через брандмауэр. Вы можете дважды проверить все игры, серверы или службы, которые вы запускаете, на предмет того, какие порты они используют, и убедиться, что все эти порты указаны в соответствующем списке.

Если вы не знаете, какие порты вам нужно открыть, вы можете проверить это с помощью следующих команд:

  • netstat -vatn
  • netstat –listen
  • netstat -lntu

И ищите такие вещи, как

  • tcp 0 0 0.0.0.0:8081 0.0.0.0:* СЛУШАТЬ

В этом примере прослушивается порт 8081, поэтому мне нужно открыть порт 8081.

Я добавлю несколько ссылок внизу этой статьи, чтобы более подробно остановиться на этом для тех, кому это нужно.

После того, как вы все настроили на настройку портов IPv4, вы захотите убедиться, что IPv6 также позаботится, если вы используете его в своей системе, почти таким же образом.

После этого вы теоретически можете просто запустить CSF и приступить к работе, однако я настоятельно рекомендую прочитать остальную часть файла конфигурации и изменить все, что вы считаете нужным; ОСОБЕННО, если вы настраиваете это в любой серверной среде. В CSF есть несколько отличных вариантов защиты от DDoS-атак. Я использовал CSF на других своих серверах и пытался довольно сильно их использовать в целях тестирования, просто чтобы CSF меня подавил. Тем не менее, он определенно не является непревзойденным, но он твердый, это точно.

Запуск CSF

Как только это все сказано и сделано, мы хотим протестировать CSF, чтобы убедиться, что все работает правильно.

Для этого запустим CSF

  • csf -e

Вы должны увидеть текст, прокручиваемый по экрану, и сообщение, которое гласит:

  • csf и lfd были включены

* ВНИМАНИЕ * Включен режим ТЕСТИРОВАНИЕ — не забудьте отключить его в конфигурации

На данный момент брандмауэр запущен. Теперь это когда вы пытаетесь подключить свои обычные службы, запускать игры и делать то, что обычно делаете.

Если на этом этапе у вас нет проблем (чего не должно быть, если вы правильно следовали комментариям в файле конфигурации!), Вы можете отключить режим тестирования.

  • нано /etc/csf/csf.conf

TESTING = «1» становится TESTING = «0»

А потом

  • csf -r

перезапустить CSF.

Готово!

В любое время, когда вам понадобится добавить порты, вы можете просто снова открыть файл конфигурации CSF, добавить номера портов, а затем перезапустить csf с помощью

  • csf -r

Если вам когда-нибудь понадобится остановить CSF, используйте

  • csf -x

Теперь ваша система защищена брандмауэром!

Дополнительные ресурсы и информацию можно найти по адресу:

  • https://configserver.com/cp/csf.html
  • https://forum.configserver.com/

Теперь ваша очередь : Используете ли вы в своей системе встроенный брандмауэр?

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *