Kako namestiti Config Server Firewall (CSF)

Config Server Firewall (or CSF) je brezplačen in napreden firewall za večina Linux distribucij. Zraven osnovnih funkcij, ponuja veliko naprednih možnosti kot so login/intrusion/flood detections. CSF vsebuje grafični vmestnik za nadzorne plošče kot so cPanel, DirectAdmin in Webmin. V tem prispevku bomo opisali samo osnovno uporabo preko ukazne vrstice.

Seznam operacijskih sistemov ki jih podpira CSF najdete na ConfigServer uradni strani.

Ta prispevek je napisan za strežnik z nameščenim Ubuntu. Vse komande se morajo izvajati kot root, zato se na strežnik prijavite kot root.

Namestitev CSF

Korak 1: Download

Config Server Firewall morate sneti iz uradnega naslova.

wget https://download.configserver.com/csf.tgz

Korak 2: Odpakirajte arhiv

tar -xzvf csf.tgz

Korak 3: Namestitev

Pred samo namestitvijo preverite če slučajno že imate kakšen firewall aktiven. Če ja, potem ga onemogočite.

Sedaj je čas za zagon inštalacije.

cd csf
sh install.sh

CSF firewall je sedaj nameščen v test načinu. Preden ga aktivirate vam priporočamo da še preverite če imate vse potrebne iptables modue nameščene na strežniku da firewall nemoteno deluje.

perl /usr/local/csf/csftest.pl

Opomba: Sedaj ko firewall deluje, je vaš IP naslov avtomatsko dodan na whitelisto in SSH port tudi. Firewall je nastavljen tako, da po namestitvi deluje v “test” načinu, kar pomeni da se bodo iptable pravila po 5 minutah resetirala. Zato preverite če vam vse deluje in izklopite test mode.

Osnovna nastavitev

CSF se lahko nastavlja z editiranjem config datoteke.

nano /etc/csf/csf.conf

Ko končate z editiranjem, morate CSF restartirati z komando.

csf -ra

Korak 2: Nastavitev portov

Pavilo ki velja si ga zapomniti je “manj portov ima vaš strežnik odprtih, manj je napadov ali poskusov in strežnik je bolj varen”.
Porti ki so po defaultu odprti so:

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”

TCP_OUT = “20,21,22,25,53,80,110,113,443”

UDP_IN = “20,21,53”

UDP_OUT = “20,21,53,113,123”

Seznam servisov ki uporabljajo te porte:

Port 20: FTP data transfer
Port 21: FTP control
Port 22: Secure shell (SSH)
Port 25: Simple mail transfer protocol (SMTP)
Port 53: Domain name system (DNS)
Port 80: Hypertext transfer protocol (HTTP)
Port 110: Post office protocol v3 (POP3)
Port 113: Authentication service/identification protocol
Port 123: Network time protocol (NTP)
Port 143: Internet message access protocol (IMAP)
Port 443: Hypertext transfer protocol preko SSL/TLS (HTTPS)
Port 465: URL Rendesvous Directory for SSM (Cisco)
Port 587: E-mail message submission (SMTP)
Port 993: Internet message access protocol preko SSL (IMAPS)
Port 995: Post office protocol 3 preko TLS/SSL (POP3S)

Če katerega od naštetih servisov ne boste uporabljali, priporočamo da port zaprete.

Opomba: Če uporabljate IPv6, nastavite direktive TCP6_IN, TCP6_OUT, UPD6_IN, in UPD6_OUT v konfiguraciji.

Izčrpen seznam TCP in UDP portov lahko najdete na Wikipedia.

Korak 3: Ohranjanje nastavitev

Kadarkoli naredite spremembo v csf.conf datoteki morate restartirati firewall z komando.

csf -ra

Če vam po nastavitvi deluje vse normalno, onemogočite TEST mode in sicer z editiranje csf.conf.

TESTING=”0″

Shranite datoteko in restartirajte firewall.

csf -ra