مقاله وبلاگ

نصب و پیکربندی فایروال CSF

شهریور ۲۵, ۱۳۹۸, نویسنده: ۰ نظر

نصب و پیکربندی فایروال CSF

برای بالا بردن امنیت سرور خود اولین کاری که باید انجام دهید نصب یک فایروال است. ما قبلا در مورد جلوگیری از حملات سرور با فایروال csf توضیح دادیم که میتوانید مطالعه نمایید.

درهنگام نصب فایروال csf نباید اسکریپت پیکربندی فایروال دیگری نصب باشد ترکیب CSF با فایروال دیگر موجب بروز خطا میشود پس در صورت وجود فایروال دیگر باید اقدام به حذف آن نمایید.

نصب و پیکربندی فایروال CSF

نصب و پیکربندی فایروال CSF

نصب فایروال 

ابتدا با نرم افزار putty وارد سرور مجازی یا اختصاصی لینوکس خود شوید .سپس دستورات زیر را به ترتیب وارد کنید و منتظر باشید تا تکمیل شود.

wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

اکنون فایروال نصب شد. CSF از ماژول های iptables برای مدیریت پورت ها و … استفاده میکند. به همین دلیل برای بررسی وجود یا عدم وجود این ماژول ها روی سرور باید اسکریپت پرل CSF مخصوص بررسی ماژول های IPTABLES را به صورت زیر به اجرا در بیاورید:

perl /usr/local/csf/bin/csftest.pl

اگر عملیات تست موفقیت آمیز بود برای راه اندازی و پیکربندی مانند زیر ادامه میدهیم:

پیکربندی فایروال

پس از اینکه فایروال نصب شود ابتدا در حالت تست است یعنی فعال نیست و لازم است از طریق تنظیمات آن فایروال را فعال کنید.
ما در این قسمت برخی از تنظیمات مهم را به شما آموزش میدهیم برای اطلاعات بیشتر میتوانید به این صفحه مراجعه نمایید.

بعد از نصب این فایروال یک گزینه ای با عنوان config server firewall & security در پنل شما ظاهر میشود. بر روی این گزینه کلیک کنید تا وارد مدیریت این فایروال شوید. سپس سربرگ سوم گزینه  config server Firewall را زده و وارد قسمت Firewall configuration شوید. در این گزینه میتوانید این فایروال را مطابق نیازهای خود پیکربندی کنید:

نصب و پیکربندی فایروال CSF

نصب و پیکربندی فایروال CSF

  • اولین گزینه که در csf.conf هم میباشد مربوط میشود به حالت فعال بودن آزمایشی یا آماده به کار که در این جا ما دو تا حالت داریم یکی 0 و یکی 1 که اگر 1 قرار بدهیم مانند این است که ما اصلا CSF رو نصب نکرده ایم و اگر 0 قرار بدیم CSF فعال میشه پس ما 0 رو انتخاب میکنیم.

TESTING = “0″

یک سری تنظیمات که خیلی مهم هستند در واقع مدیریت پورت های سرور است ؛ پس مطمئن باشید چه پورتی رو باز نگه میدارید و چه پورتی را بسته.

  • پورت هایی را میتوانید اینجا باز کنید که از بیرون از سرور به سرور دسترسی داشته باشند در واقع پورت هایی که اجازه ورود به سرور را دارند؛

“TCP_IN =”20,25,53,80,110,465

  • این تنظیم هم مربوط میشود به پورت هایی که از سرور به بیرون باز باشد در واقع پورت هایی که از داخل سرور به بیرون از سرور باز باشد.

“TCP_OUT =”20,25,53,80,110,465

  •  پورت های UDP که UDP_IN پورت های UDP از بیرون به داخل رو باز میکند.

UDP_IN = “53″

  • در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواهید باز باشد .

UDP_OUT = “20,21,53,113,123,873,6277″

پروتکل ICMP  که این قسمت هم بستگی به افراد دارد؛ برخی مواقع افراد مایلند این پروتکل باز باشد این قسمت را فعال کرده و برخی هم تمایلی نداشته و میبندند.  ولی در صورت باز بودن ممکن است یک سری حملات روی سرور داشته باشند .

  • پس در پیکربندی زیر که ICMP رو از بیرون به داخل پیکربندی میکند که اگر عدد 1 رو بگذاریم ICMP باز است و میتواند پینگ کنند و شما Rate این قسمت را میتوانید تعیین کنید، ولی اگه 0 باشد کلا بسته میشود .

ICMP_IN = “0″

  • برای تنظیم Rate آن هم پیکربندی زیر را ویرایش میکنیم که عموما 1 در ثانیه تنظیم میکنند.

”ICMP_IN_RATE = “1/s

  • اکنون بحث باز یا بسته بودن ICMP از داخل سرور به بیرون؛ که اصولا باید باز گذاشته شوند زیرا سرویس های شما قطعا به این مورد نیاز دارند

ICMP_OUT = “1″
ICMP_OUT_RATE = “0″

  • اگر  ICMP_OUT_RATE رو عدد 0 بگذارید به معنی بی نهایت میباشد یا نامحدود.

SMTP_BLOCK = “1″

  • پیکربندی SMTP با مقدار “1” ایمیل هایی که غیر از یوزر روت با SMTP میخواهد فرستاده شود را بلاک میکند .

SMTP_ALLOWLOCAL = “1″

  • اگر SMTP_BLOCK فعال کرده باشید این گزینه اجازه میدهد تنها از روی خود سرور توسط SMTP ایمیل فرستاده شود یعنی اگر با Localhost فرستاده شد اجازه خروج از سرور رو بدهد به غیر از این مثلا اگه از بیرون وصل شدند و خواستند SMTP ایمیل بزنند بلاک کند

PACKET_—————— = “1″

  • این گزینه پاکت هایی که خود IPTABLES تشخیص میدهد که نامشخص است هستند را باگ میکند؛ یعنی پاکت هایی که INVALID هستند .

DROP_PF_LOGGING = “0″

  • این گزینه نیز لاگ کردن SYN Flood Protection رو فعال میکند .

SYNFLOOD = “1″
SYNFLOOD_RATE = “100/s
SYNFLOOD_BURST = “150″

  • Synflood اول: تنظیم این قسمت Synflood Protection رو فعال میکند و SYNFLOOD_RATE هم Rate رو مشخص میکند و SYNFLOOD_BURST هم Burst را، که این تنظیمات بستگی به سرور شما و سطح حمله هایی که دارد به سرور شما میشود به صورت پیش فرض میتوانید این مقادیر را قرار بدهید . اگر حمله شدیدتر باشد میتوانید Rate ر کمتر کرده تا به جایی برسد که حملات را دفع کند.

“” =PORTFLOOD

  • گزینه زیر نیز اتصالات روی هر پورت را مدیریت میکند. برای مثال اگه شما مقدار زیر را تنظیم کنید به این معناست که روی پورت 80 از نوع TCP هر ایپی میتواند در مدت 5 ثانیه 20 تا اتصال ایجاد کند .

PORTFLOOD = “80;tcp;20;5″
VERBOSE = “1″

  • قسمت VERBOSE کارهایی که Iptables انجام میدهد را روی صحفه نمایش شما نشان میدهد که بهتر است ۱ را انتخاب کنید.

SYSLOG = “0″

  • این قسمت هم برای فعال کردن SYSLOG میباشد؛ که بهتر است همیشه فعال نگه دارید تا لاگ های سیستم رو ایجاد کند که مهم هم میباشد پس عدد 1 رو انتخاب میکنیم !

نکته : در صورت تغییر در هر کدام از فایل های اعلام شده میبایست فایروال ریستارت شود که جهت انجام این کار میتوانید از دستور زیر استفاده نمایید.

Csf -r

نصب و پیکربندی فایروال CSF

نصب و پیکربندی فایروال CSF

مریم ممتاز

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.