CSF (ConfigServer Firewall) je firewall založený na iptables, poskytuje snadnější způsob implementace iptables pravidla. Někdy potřebujeme přidat specifická pravidla (např. pravidla iptables, která nejsou pokryta CSF), abychom je přidali do CSF. Pokud tato pravidla přidáme pomocí příkazu iptables přímo z shellu, budou při příštím restartu CSF vymazána. Po instalaci CSF firewallu v Linuxu vám tento článek pomůže přidat vlastní pravidla iptables do CSF firewallu.
CSF poskytuje před a zveřejnit skripty, kde se provádí před a po aplikaci pravidel firewallem CSF. Chcete například otevřít port 3306 ( výchozí MySQL ) na konkrétní IP. Následující pravidla můžete přidat do před nebo po skriptu
- csfpre.sh – Chcete-li spustit externí příkazy před csf nakonfiguruje iptables
- csfpost.sh – Chcete-li spustit externí příkazy po csf nakonfiguruje iptables
Před pravidly CSF
Vytvořte soubor
iptables -I INPUT -s1.2.3.4 -p tcp -m state --state NEW -m tcp --dport3306 -j ACCEPT
Po pravidlech CSF
Vytvořte soubor
iptables -I INPUT -s1.2.3.4 -p tcp -m state --state NEW -m tcp --dport3306 -j ACCEPT
Restartujte CSF
Chcete-li restartovat CSF, jednoduše zadejte níže uvedený příkaz a sledujte výsledky. CSF produkuje velké množství výstupu, takže nemusíte vidět celý výstup v jednom skriptu, takže přidejte další k zobrazení výsledků po stránce.
csf -r | more
Níže naleznete několik částí výstupu
... ... Deleting chain `LOCALOUTPUT' Deleting chain `LOGDROPIN' Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.sh DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67 DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67 ... ... ... ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53 LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0 LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0 LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0 LOCALINPUT all opt in !lo out * ::/0 -> ::/0Running /etc/csf/csfpost.sh
Děkuji! za použití tohoto článku. Klikněte sem a přečtěte si více o konfiguraci CSF.