Встановлення і налаштування фаєрвола CSF на VPS

ConfigServer Security and Firewall (сокр. CSF) - безкоштовний інструмент для забезпечення безпеки Вашого сервера.

 

Для коректної роботи CSF обов'язкова наявність Perl з бібліотеками Time / HiRes на вашому сервері.

Якщо дані бібліотеки не встановлені необхідно виконати наступні дії:

 

Підключившись по протоколу SSH до сервера необхідно виконати наступні команди:

apt-get install libwww-perl (встановлення perl)

perl -e "use Time::HiRes" ()

Після перевірки / встановлення Perl приступаємо до встановлення CSF:

Завантажуємо архів дистрибутива брандмауера:

 

wget https://download.configserver.com/csf.tgz

Далі необхідно розпакувати завантажений архів, перейти в його директорію і запустити скрипт встановлення:

 

tar -xzf csf.tgz

cd csf

sh install.sh

 

Далі буде проведене встановлення. По завершенню встановлення необхідно перевірити наявність обов'язкових модулів IPTables на вашому VPS однієї з команд:

 

perl /etc/csf/csftest.pl

perl /usr/local/csf/bin/csftest.pl

 

По завершенню ви повинні бачити у вікні консолі приблизно наступне:

 

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
RESULT: csf should function on this server


Якщо у вас на сервері існують інші скрипти IPtables (наприклад, AFD або BFD), то необхідно їх видалити за допомогою однієї з команд:

 

sh /usr/local/csf/bin/remove_apf_bfd.sh

sh disable_apf_bfd.sh

sh /tmp/csf/bin/remove_apf_bfd.sh

 

Якщо після виконання однієї з команд Ви отримаєте помилку "файл не знайдено", то це означає, що скрипти були встановлені раніше. На цьому процес налаштування завершений.

Налаштування CSF

По завершенню налаштування CSF запущений в тестовому режимі. Цей режим рекомендується відключати тільки після завершення повної конфігурації Firewall.

Далі необхідно відредагувати конфігураційний файл /etc/csf/csf.conf, відкривши його текстовим редактором:

 

vim /etc/csf/csf.conf

 

 

 

Необхідно переконатись у тому, що порти UDP і TCP відкриті для роботи.

Для цього в файлі конфігурації існують такі записи:

 

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123"

 

Всі інші параметри ви можете змінити відповідно до ваших вимог.

 

Для відключення тестового режиму роботи CSF необхідно змінити в конфігураційному файлі значення  параметра TESTING на "0".

Для запуску ConfigServer Security and Firewall використовуйте команду:

 

csf -s

 

 

Для перезапуску після змін у файлі конфігурації:

 

csf -r

 

 

Якщо необхідно додати CSF в автозавантаження операційної системи використовуйте команду

 

CentOS 6.*:

 

chkconfig --level 235 csf on

 

CentOS 7 / Fedora:

 

systemctl enable csf.service

 

Debian / Ubuntu:

 

update-rc.d csf defaults

 

Конфігурація CSF на цьому завершена.

 

Додаткова конфігурація

Існують додаткові файли конфігурації CSF:

csf.allow - відповідає за білий список IP і CIDR (підмереж) адрес.

csf.deny - відповідає за чорний список IP і CIDR адрес.

csf.ignore - відповідає за список IP і CIDR адрес, ігнорованих файерволом.

Використовуючи команди csf -h або man csf ви можете отримати повну довідкову інформацію про команди для управління CSF:

 

   
-h Показати довідкову інформацію
-l Показати список правил для IPv4 адрес
-l6 Показати список правил для IPv6 адрес
-s Активація правил фаєрвола
-f Припинення дій правил фаєрвола
-r Перезапуск правил
-a Додати IP адрес в білий список /etc/csf/csf.allow
-ar Забрати IP з білого списка /etc/csf/csf.allow и удалить правило
-d Додати IP адрес в черний список /etc/csf/csf.deny
-dr Забрати IP з чорного списка /etc/csf/csf.deny и удалить правило
-df Видалити і розблокувати всі записи з файлу /etc/csf/csf.deny
-g Пошук існуючих IPv4 і IPv6 правил по IP, CIDR або номеру порту
-c Перевірити наявність оновлень для csf, але не встановлювати їх
-u Перевірити наявність оновлень і якщо є - встановити
-x Деактивувати csf і lfd
-e Активувати csf і lfd
-v Показати версію CSF

Повну інформацію про конфігурації ConfigServer Security and Firewall ви можете отримати на офіційному сайті:

http://configserver.com/cp/csf.html

Ця відповідь Вам допомогла? 0 Користувачі, які знайшли це корисним (2 Голосів)