آموزش امنیت شبکه فایروال لینوکس میم تک 19

CSF Firewall : آموزش نصب و پیکربندی

محمد رستمی1397-10-03بدون دیدگاه

در ادامه مقاله ی امن کردن VPS یا سرور مجازی، در این شماره با نصب و پیکربندی CSF Firewall در لینوکس آشنا می شوید.

مراحل نصب CSF Firewall :

مرحله اول: دانلود CSF Firewall

برای دانلود این پکیج، نیاز به اضافه کردن Repository خاصی ندارید.

از وب‌سایت اصلی این فایروال، اقدام به دانلود آن می کنیم:

دانلود CSF Firewall

مرحله دوم: استخراج CSF Firewall

فایل دانلود شده با فرمت tar فشرده شده است که با دستور زیر آن را استخراج می‌کنیم:

tar -xzf csf.tgz

1	tar -xzf csf.tgz

مرحله سوم: نصب CSF Firewall

اگر فایروال فعال دیگری مثل UFW (فایروال پیش فرض ابونتو ) دارید، آن را غیر فعال کنید.

برای غیر فعال کردن UFW از دستور زیر استفاده کنید:

ufw disable

1	ufw disable

با دستور زیر اسکریپت نصب CSF را اجرا کنید:

sudo sh csf/install.sh

1	sudo sh csf/install.sh

حالا CSF نصب شد. با دستور زیر بررسی کنید که ماژول های iptables در دسترس هستند یا fatal error دریافت می کنید:

sudo perl /usr/local/csf/bin/csftest.pl

1	sudo perl /usr/local/csf/bin/csftest.pl

مراحل پیکربندی CSF Firewall :

مرحله چهارم: پیکربندی

CSF با استفاده از فایل csf.conf پیکربندی می شود.

با دستور زیر فایل را باز کنید و تغییرات و پیکربندی های مورد نیاز را انجام دهید:

sudo nano /etc/csf/csf.conf

1	sudo nano /etc/csf/csf.conf

مرحله پنجم: پیکربندی پورت ها در CSF Firewall

هرچه پورت های کمتری را باز نگه دارید، امنیت سیستم عامل بالا تر می رود.

بستن پورت های غیر ضروری راه را برای نفوذ هکر ها می‌بندد.

پورت های باز پیش‌فرض CSF :

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443"

UDP_IN = "20,21,53"

UDP_OUT = "20,21,53,113,123"

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443"

UDP_IN = "20,21,53"

UDP_OUT = "20,21,53,113,123"

شاید بسیاری از پورت های بالا غیر ضروری باشند و شما نیازی به آن نداشته باشید. بهتر است تمام پورت ها را پاک کنید و فقط شماره پورت های مورد نیاز خود را بنویسید.

مثلا سیستم عامل شما هیچ نیازی به باز کردن وب سایتی ندارد، در نتیجه بهتر است پورت های 80 (http) و 443 (https) را از لیست پاک کنید.

در این لینک، لیستی از تمامی پورت ها وجود دارد که به کمکتان می آید.

مرحله ششم: پیکربندی IP ها در CSF Firewall

شاید شما نیاز به access list در این فایروال داشته باشید. یعنی مثلا بخواهید یک آدرس IP خاص یا یک شبکه را بلاک کنید. یا بخواهید تمام شبکه ها و IP ها را بلاک کنید و فقط به یک آدرس اجازه دسترسی بدهید.

فایل csf.deny برای بلاک کردن و فایل csf.allow برای اجازه دادن شبکه ها و IP ها به سیستم عامل شما می باشد.

به طور مثال می خواهیم آدرس 78.45.12.56 و رنج شبکه ی 192.168.98.0/24 را بلاک کنیم. اول از همه با دستور sudo nano /etc/csf/csf.deny فایل csf.deny را باز می‌کنیم و آدرس ها را مثل زیر به آن اضافه می‌کنیم: