Giunsa ang Pag-install sa Config Server Firewall (CSF) sa Debian/Ubuntu
Ang ConfigServer ug Security Firewall, gipamubo nga CSF, usa ka open-source ug advanced firewall nga gidisenyo alang sa mga sistema sa Linux. Dili lamang kini naghatag sa batakang pag-andar sa usa ka firewall apan nagtanyag usab usa ka halapad nga han-ay sa mga add-on nga bahin sama sa pag-login/intrusion detection, exploit checks, ping of death protection ug daghan pa.
[ Tingali ganahan ka usab: 10 Mapuslanon nga Open Source Security Firewalls alang sa Linux Systems ]
Dugang pa, naghatag usab kini nga panagsama sa UI alang sa opisyal nga website sa ConfigServer.
Niini nga giya, kami maglakaw kanimo pinaagi sa pag-instalar ug pag-configure sa ConfigServer Security & Firewall (CSF) sa Debian ug Ubuntu.
Lakang 1: I-install ang CSF Firewall sa Debian ug Ubuntu
Una, kinahanglan nimo nga i-install ang pipila nga mga dependency sa dili ka pa magsugod sa pag-install sa CSF firewall. Sa imong terminal, i-update ang package index:
$ sudo apt update
Sunod, i-install ang mga dependency sama sa gipakita:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Kung wala kana, mahimo ka na karon magpadayon sa sunod nga lakang.
Tungod kay ang CSF wala maapil sa default nga mga repositoryo sa Debian ug Ubuntu, kinahanglan nimo nga mano-mano nga i-install kini. Aron makapadayon, i-download ang CSF tarball file nga naglangkob sa tanan nga mga file sa pag-install gamit ang mosunod nga wget command.
$ wget http://download.configserver.com/csf.tgz
Nag-download kini og compressed file nga gitawag og csf.tgz.
Sunod, kuhaa ang compressed file.
$ tar -xvzf csf.tgz
Naghimo kini og folder nga gitawag og csf.
$ ls -l
Sunod, pag-navigate sa csf folder.
$ cd csf
Dayon i-install ang CSF Firewall pinaagi sa pagpadagan sa gipakita nga script sa pag-install.
$ sudo bash install.sh
Kung okay ra ang tanan, kinahanglan nimo makuha ang output sama sa gipakita.
Niini nga punto, na-install ang CSF. Bisan pa, kinahanglan nimo nga pamatud-an nga ang gikinahanglan nga mga iptable gikarga. Aron makab-ot kini, pagdagan ang mando:
$ sudo perl /usr/local/csf/bin/csftest.pl
Lakang 2: I-configure ang CSF Firewall sa Debian ug Ubuntu
Kinahanglan ang pipila ka dugang nga pag-configure Sunod, kinahanglan namon nga usbon ang pipila ka mga setting aron mahimo ang CSF. Busa, adto sa csf.conf configuration file.
$ sudo nano /etc/csf/csf.conf
I-edit ang direktiba sa PAGSULAY gikan sa 1 ngadto sa 0 ingon sa gipakita sa ubos.
TESTING = "0"
Sunod, itakda ang RESTRICT_SYSLOG nga direktiba sa 3 aron higpitan ang rsyslog/syslog nga pag-access lamang sa mga miyembro sa RESTRICT_SYSLOG_GROUP.
RESTRICT_SYSLOG = "3"
Sunod, mahimo nimong ablihan ang mga pantalan sa TCP ug UDP pinaagi sa pagpangita sa mga direktiba sa TCP_IN, TCP_OUT, UDP_IN, ug UDP_OUT.
Sa kasagaran, ang mosunod nga mga pantalan giablihan.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
Ang mga posibilidad mao nga dili nimo kinahanglan nga ablihan ang tanan nga mga pantalan, ug ang labing kaayo nga mga gawi sa server naghangyo nga ablihan ra nimo ang mga pantalan nga imong gigamit. Girekomenda namon nga imong tangtangon ang tanan nga wala kinahanglana nga mga pantalan ug ibilin ang mga gigamit sa mga serbisyo nga nagdagan sa imong sistema.
Kung nahuman na nimo ang pagtino sa mga pantalan nga imong kinahanglan, i-reload ang CSF sama sa gipakita.
$ sudo csf -r
Aron ilista ang tanang mga lagda sa IP table nga gihubit sa server, padagana ang command:
$ sudo csf -l
Mahimo nimong sugdan ug mahimo ang CSF firewall sa pagsugod sama sa mosunod:
$ sudo systemctl start csf $ sudo systemctl enable csf
Dayon kumpirmahi nga ang firewall nagdagan:
$ sudo systemctl status csf
Lakang 3: Pag-block ug Pagtugot sa mga IP Address sa CSF Firewall
Usa sa mga importanteng gamit sa firewall mao ang abilidad sa pagtugot o pagbabag sa mga IP address sa pag-access sa server. Uban sa CSF, mahimo nimong i-whitelist (allow), blacklist (ilimud) o ibaliwala ang mga IP address pinaagi sa pag-usab sa mosunod nga mga file sa pag-configure:
- csf.allow
- csf.deny
- csf.ignore
Aron babagan ang usa ka IP address, i-access lang ang csf.deny configuration file.
$ sudo nano /etc/csf/csf.deny
Dayon ipiho ang mga IP address nga gusto nimong babagan. Mahimo nimong ipiho ang mga adres sa IP linya sa linya sama sa gipakita:
192.168.100.50 192.168.100.120
O mahimo nimong gamiton ang notasyon sa CIDR aron babagan ang tibuok subnet.
192.168.100.0/24
Aron tugotan ang usa ka IP address pinaagi sa Iptables ug dili kini iapil sa tanang mga filter o block, i-edit ang csf.allow configuration file.
$ sudo nano /etc/csf/csf.allow
Mahimo nimong ilista ang usa ka IP address matag linya, o gamiton ang CIDR addressing sama sa gipakita kaniadto kung gibabagan ang mga IP.
PAHINUMDOM: Ang usa ka IP address tugotan bisan kung kini klaro nga gihubit sa csf.deny configuration file. Aron masiguro nga ang usa ka IP address gibabagan o gi-blacklist, siguroha nga wala kini gilista sa csf.allow file.
Dugang pa, ang CSF naghatag kanimo ug katakus nga dili iapil ang usa ka IP address gikan sa mga IPtable o mga filter. Ang bisan unsang IP address sa csf.ignore nga payl ma-exempt sa mga filter sa iptables. Mahimo lamang kini nga babagan kung gitakda sa csf.deny file.
Aron ma-exempt ang IP address sa mga filter, i-access ang csf.ignore file.
$ sudo nano /etc/csf/csf.ignore
Sa makausa pa, mahimo nimong ilista ang mga IP linya sa linya o gamiton ang notasyon sa CIDR.
Ug kana nagtapos sa among giya karon. Kami nanghinaut nga mahimo nimong i-install ug i-configure ang CSF firewall nga wala’y babag.