A idéia com csf, como a maioria das configurações de firewall do iptables , é bloquear tudo e, em seguida, permitir somente as conexões que você deseja. Isso é feito no iptables DROPPING todas as conexões dentro e fora do servidor em todos os protocolos.
Após a instalação bem-sucedida do CSF, você precisa desativar o modo TESTING para trabalhar o CSF corretamente em seu servidor.
Você pode alterá-lo do próprio arquivo de configuração.
[root@server#] nano /etc/csf/csf.conf Em seguida, altere o valor de 'TESTING' de 1 para 0
Alguns comandos CSF úteis para gerenciar o firewall do servidor.
1. Habilite csf e lfd se desativado anteriormente
csf -e ou csf --enable
2. Desative csf e lfd completamente
csf-x Ou csf --disable
3. Reinicie as regras do firewall
csf -r Or csf --restart
4. Inicie as regras do firewall
csf -s or csf --start
5. Flush/Stop regras do firewall (Nota: lfd pode reiniciar csf)
csf -f Ou csf -stop
6.Mostrar a configuração do iptables IPv4
csf -l Ou csf --status
7. Mostrar a configuração IPv6 ip6tables
csf -l6 Ou csf --status6
Você deve ter algumas idéias sobre os seguintes arquivos de configuração para usar outros comandos csf.
csf.conf : Arquivo de configuração para controle de CSF. csf.allow : lista de endereços IP e CIDR permitidos no firewall. csf.deny : lista de endereços IP e CIDR negada no firewall. csf.ignore : lista de endereços IP e CIDR ignorados no firewall. csf. * ignore : A lista de vários arquivos ignorados de usuários, IPs.
8. Permitir um IP e adicionar a /etc/csf/csf.allow
csf -a ip [comment] Ou csf --add ip [comment]
Você pode adicionar seus comentários no suporte quadrado. Veja o exemplo abaixo:
[root@server#] # csf -a 6x.8xx.1x2.8x [Meu servidor] Adicionando 6x.8xx.1x2.8x para csf.allow e iptables ACEITAR ... ACEITE tudo opt-in! Lo out * 6x.8xx.1x2.8x -> 0.0.0.0/0 ACEITE todos os opt-in * out! Lo 0.0.0.0/0 -> 6x.8xx.1x2.8x
6x.8xx.1 × 2.8x – é o endereço IP e ‘Meu servidor’ dentro do suporte quadrado é o comentário. Você pode verificar o arquivo /etc/csf/csf.allow para obter mais detalhes:
[root@server#] # grep 6x.8xx.1x2.8x /etc/csf/csf.allow ------ 6x.8xx.1x2.8x # [Meu servidor] - Qui 19 de dezembro 23:16:27 2013 ------
9. Remova um IP de /etc/csf/csf.allow e exclua a regra
csf -ar Or csf --addrm ip
10. Negar um IP e adicionar a /etc/csf/csf.deny
csf -d Ou csf --deny ip [comment]
11. Desbloqueie um IP e remova de /etc/csf/csf.deny
csf -dr Ou csf --denyrm ip
12. Remova e desbloqueie todas as entradas em /etc/csf/csf.deny
csf -df Ou csf --denyf
13. Pesquise as regras iptables e ip6tables para uma correspondência (por exemplo, IP, CIDR, Número da porta)
csf -g Ou csf --grep ip
Exemplo:
[root@server#] # csf -g 6x.8xx.1x2.8x Chain num pkts bytes target prot opt in out source destination ALLOWIN 1 0 0 ACEITE tudo -! Lo * 6x.8xx.1x2.8x 0.0.0.0/0 ALLOWOUT 1 0 0 ACEITE tudo - *! Lo 0.0.0.0/0 6x.8xx.1x2.8x
Permissão ou recusa temporária de IP:
os seguintes comandos csf estão usando para permitir ou negar um endereço IP temporário do nosso servidor.
14. Exibe a lista atual de permissão temporária e negar entradas de IP com seu TTL e comentário
csf -t Ou csf --temp
15. Adicionar um IP à lista de permissões IP temporais (padrão: inout)
csf -ta ip ttl [-p port] [-d direction] [comment] Ou csf --tempallow ip ttl [-p port] [-d direction] [comment]
Onde ttl é o tempo de vida em segundos (Valor padrão: 3600)
Exemplo:
[root@server#]# csf -ta 66.8x.1xx.xx ACEITE tudo opt-in! Lo out * 66.8x.1xx.xx -> 0.0.0.0/0 ACEITE tudo opt-in * out! Lo 0.0.0.0/0 -> 66.8x.1xx.xx csf: 66.8x.1xx.xx permitido na porta * por 3600 segundos dentro e fora
16. Adicione um IP à lista de proibição de IP temporária.
csf -td ip ttl [-p port] [-d direction] [comment] Ou csf --tempdeny ip ttl [-p port] [-d direction] [comment]
Exemplo:
[root@server#] csf -td 66.8x.1xx.xx DROP all opt-in! Lo out * 66.8x.1xx.xx -> 0.0.0.0/0 csf: 66.8x.1xx.xx bloqueado na porta * por 3600 segundos de entrada
17. Remova um IP da proibição temporária de IP ou permita a lista
csf -tr Ou csf --temprm ip
18. Elimine todos os IPs das entradas de IP temporárias
csf -tf Ou csf --tempf
19. Comandos gerais:
csf -v Ou csf --versão: mostra a versão csf csf -c Ou csf - cheque: verifique se há atualizações para csf mas não atualizam csf-u Ou csf --update: verifique se há atualizações para csf e atualizar se disponível csf -h Ou csf - ajuda: para ajuda