آموزش نصب و پیکربندی فایروال CSF

با سلام و احترام

در این جلسه تصمیم بر این شده که مبحث نصب و پیکربندی کامل فایروال CSF رو به صورت کامل تشریح کنیم. پس ما با همراه باشید.



نصب فایروال 

ابتدا با نرم افزار putty وارد سرور مجازی یا اختصاصی لینوکس خود شوید .

سپس دستورات زیر را به ترتیب وارد کنین و منتظر باشید تا پروسس کامل شود.

wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

با انجام فرایند های بالا نصب این فایروال انجام میشود



کانفینگ فایروال

پس از نصب این فایروال یک گزینه ای با عنوان ConfigServer Firewall&Security در پنل شما ظاهر میشود.

بر روی این گزینه کلیک کنید تا وارد مدیریت این فایروال شوید. سپس سربرگ سوم گزینه  ConfigServer Firewall را زده و وارد قسمت Firewall configuration شوید.

در این گزینه میتوانین این فایروال را بنا به نیاز های خود کانفینگ نمائید


اولین گزینه که در csf.conf هم میباشد مربوط میشود به حالت فعال بودن آزمایشی یا آماده به کار 

 TESTING = “0″

در این جا ما دو تا حالت داریم یکی 0 و یکی 1 که اگر 1 قرار بدهیم مانند این است که ما اصلا CSF رو نصب نکرده ایم و اگر 0 قرار بدیم CSF فعال میشه پس ما 0 رو انتخاب میکنیم.
 


این مرحله مربوط میشود به مدت زمان بین چک کردن رول های خود CSF که بر حسب دقیقه میباشد ؛ در واقع مانند Cron عمل میکند و CSF رو استارت میکند.

TESTING_INTERVAL = “1″

و میتواند بین 1 تا 5 دقیقه باشد توصیه میشود روی عدد 1 قرار بدهید ؛ زیرا هرچه مدت زمان بین چک کردن رول ها کمتر باشد مناسبتر است.
 


AUTO_UPDATES = “0″

این گزینه همان طور که از عنوانش پیدا میباشد وظیفه اش این است که به طور اتوماتیک خودش رو آپدیت نگه دارد که اگه 1 قرار بدهید غیر فعال میشود و خودش رو آپدیت نمیکند . ولی اگه 0 قرار بدهید CSF به صورت اتوماتیک خودش رو آپدیت میکند . پس بهترین گزینه برای این کانفیگ ست کردن 0 هست چون ممکنه باگی توی CSF پیدا بشه و شما متوجه نشید برا همین 0 انتخاب میکنیم.


 
ETH_DEVICE = “eth0,eth1″

CSF به صورت اتوماتیک بر روی تمام کارت شبکه های سرور شما رول ها رو اعمال میکند ، پس اگه خالی گذاشتید تمام کارت های شبکه شما پشت فایروال قرار میگیرد ولی بعضی وقت ها ممکن است تعداد کارت های شبکه سرور شما چند تا باشد که شما میخواهید فقط تعدادی از آن ها پشت CSF قرار بگیرد برای همین در این کانفیگ آن ها رو مشخص میکنیم و با علامت “,” از هم دیگه جداشون میکنیم .
  


ETH_DEVICE_SKIP = “eth2,eth3″

این کانفیگ همون طور که از عنوان آن پیدا میباشد میتوانید کارت شبکه هایی که نمیخواهید پشت فایروال قرار بگیرد رو قرار بدهید ؛ در واقع آزاد باشد . 



 یک سری تنظیمات که خیلی مهم میباشد در واقع مدیریت پورت های سرور است ؛ پس مواظب باشید دارید چه پورتی رو باز نگه میدارید و چه پورتی رو بسته . 

TCP_IN = “۲۰,۲۵,۵۳,۸۰,۱۱۰,۴۶۵″

 پورت هایی رو میتوانید اینجا باز کنید که از بیرون از سرور به سرور دسترسی داشته باشند در واقع پورت هایی که اجازه ورود به سرور رو دارند؛ شما اگر نمیدانید چه پورتی برای چه کاری هست بهتر میباشد. 

کانفیگ بعدی مربوط میشود به :

TCP_OUT = “۲۰,۲۱,۲۲,۲۵,۳۷,۴۳,۵۳,۸۰,۱۱۰″

این کانفیگ هم مربوط میشود به پورت هایی که از سرور به بیرون باز باشد در واقع پورت هایی که از توی سرور به بیرون از سرور باز باشد ؛ خوب حالا این ها مربوط میشود به TCP پورت که با UDP تفاوت دارد اشتباهی نگیرید



 پورت های UDP

که UDP_IN پورت های UDP از بیرون به داخل رو باز میکند

UDP_IN = “۵۳″

در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواهید باز باشد و یا شود

UDP_OUT = “۲۰,۲۱,۵۳,۱۱۳,۱۲۳,۸۷۳,۶۲۷۷″



 پروتکول ICMP که این هم بستگی به افراد دارد ؛ بعضی وقت ها افراد دوست دارند باز باشد این رو فعال می کنند بعضی ها هم نه و میبندند.  ولی در صورت باز بودن میتوانید یک سری حملات روی سرور داشته باشند .

پس در کانفیگ زیر که ICMP رو از بیرون به داخل کانفیک میکند :

ICMP_IN = “0″

اگر عدد رو بگذاریم ICMP باز است و میتواند پینگ کنند و شما Rate این هم معلوم میکنید،  ولی اگه 0 باشد که کلا بسته میشود .

برای تنظیم Rate اون هم کانفیگ زیر رو ادیت میکنیم عموما ۱ در ثانیه ست میکنند

ICMP_IN_RATE = “۱/s”



حالا میریم بحث باز یا بستم ICMP از داخل سرور به بیرون که باز بگذارین چون سرویس های شما قطعا نیاز دارد

ICMP_OUT = “۱″

ICMP_OUT_RATE = “۰″

اگر دقت کرده باشید من ICMP_OUT_RATE رو عدد 0 گذاشتم به معنی بی نهایت میباشد یا نامحدود
 


SMTP_BLOCK = “۱″

همون طور که از عنوان متن پیدا میباشد در مورد SMTP است , که این کانفیگ ایمیل هایی که غیر از یوزر روت با SMTP میخواهد فرستاده شود ، بلاک میکند . 



SMTP_ALLOWLOCAL = “۱″

اگر SMTP_BLOCK فعال کرده باشید این گزینه اجازه میدهد تنها از روی خود سرور توسط SMTP ایمیل فرستاده شود یعنی اگر با Localhost فرستاده شد اجازه خروج از سرور رو بدهد به غیر از این مثلا اگه از بیرون وصل شدند و خواستند SMTP ایمیل بزنند بلاک کند



SMTP_PORTS = “۲۵″

این گزینه مربوط به پورتی است که شما تنظیم کردید SMTP باهاش کار کند که بیشتر موارد ۲۵ هست



DROP = “DROP”

همان طور که میدانید IPTABLES دو مدل برای دفع پاکت ها دارد یکی Drop که پاکت ها از عوانش معلوم است ریزش پیدا میکند و یک مدل دیگر Reject که یه پاکت میفرستد که این پاکت ریجکت شده که توصیه نمیشود زیرا مشکل ساز میشود ؛ پس بهترین مدل همان Drop میباشد.



DROP_LOGGING = “۰″

این کانفیگ اگر گزینه 0 رو انتخاب کنید لاگ میکند پاکت هایی که Drop یا Reject شده و اگه ۱ رو اتخاب کنید لاگ نمیگیرد از پاکت هایی که به Drop یا Reject شده است.  پیشنهاد میشودگزینه ۰ رو انتخاب کنید که در صورتی که مشکلی پیش اومد بدونید و دلیلش رو متوجه بشید و حلش کنید



DROP_IP_LOGGING = “۱″

این گزینه ایپی هایی که پاکت هاشون Drop یا Reject میشود رو بلاک میکند , میشود گفت یک مقدار خطریه پس بهتره عدد ۱ رو انتخاب کنید و رد بشید چون ایپی های معمولی و ساده بعضی وقت ها پاکت هاشون Drop میشه و این ریسک هست.



DROP_ONLYRES = “۰″

این گزینه لاگ میکند پورت های خاصی رو که مد نظر دارید که با “,” پورت ها رو از هم جدا کنید اگه ۰ صفر رو انتخاب کنید تمام پورت ها رو لاگ میکند . 



DROP_NOLOG = “۶۷,۶۸,۱۱۱″

این گزینه هم پورت هایی که نمی خواهید لاگ کند رو مینویسید که توصیه میشود خالی بگذارین تا همه پورت ها لاگ شوند . 



PACKET_—————— = “۱″

این گزینه هم لاگ میکند پاکت هایی که خود IPTABLES تشخیص میدهد که نامشخص است ؛ یعنی پاکت هایی که INVALID هستند . 



DROP_PF_LOGGING = “۰″

این گزینه هم لاگ کردن SYN Flood Protection رو فعال میکند . 



SYNFLOOD = “۰″

SYNFLOOD_RATE = “۱۰۰/s”

SYNFLOOD_BURST = “۱۵۰″

Synflood اولی ، این تنظیم خود این Synflood Protection رو فعال میکند و SYNFLOOD_RATE هم Rate رو مشخص میکند و SYNFLOOD_BURST و این هم Burst که این تنظیمات بستگی به سرور شما و سطح حمله هایی که دارد به سرور شما میشود به صورت دیفالت میتوانین این ها رو قرار بدهید . اگر حمله شدیتر از این حرف ها بود Rate رو کمتر کنید تا به جایی برسد که حملات را دفع کند. 



PORTFLOOD = “”

این گزینه هم کانکشن ها رو هر پورت مدیریت میکند . برای مثال اگه شما این تنظیم رو بکنید برای مثال کانفیگ زیر رو ببینید به این معناست که روی پورت ۸۰ از نوع TCP هر ایپی میتواند در مدت ۵ ثانیه ۲۰ تا کانکشن ایجاد کند . 

PORTFLOOD = “۸۰;tcp;20;5″



VERBOSE = “۱″


VERBOSE این کار هایی که Iptables میکند رو روی صحفه نمایش شما نشان میدهد که بهتر است ۱ رو انتخاب کنید چون بعضی وقت ها دارید کانفیگ میکنید یهک باره میبینید ۲۰ خط اومد تو صفحه مانیتورتون !



SYSLOG = “۰″

این هم برای فعال کردن SYSLOG  ؛ که همیشه فعال نگه دارید  که لاگ های سیستم رو ایجاد میکند که مهم میباشد پس عدد ۰ رو انتخاب میکنیم !



موفق باشید
  • 0 کاربر این را مفید یافتند
آیا این پاسخ به شما کمک کرد؟

مقالات مربوطه

تغییر یونیکد دیتابیس Maria به دیتاییس Mysql

با سلام و احترامدر این جلسه می پردازیم به تغییر یونیکد دیتابیس ماریا دی بی به مای اسکیو ال . این...

تغییر پورت سرویس SSH

با سلام و احترامدر این جلسه میپردازیم به تغییر پورت اس اس اچ برای امنیت بیشتر این سرویس . پورت...