آموزش امنیت وب

تنظیمات فایروال CSF در سرور لینوکس

در مطالب قبلی به شما آموزش نصب و راه اندازی فایروال CSF را داده ام، در این مطلب می خواهم تا شما را با تنظیمات فایروال CSF آشنا کنم.

فایل کانفیگ تنظیمات فایروال CSF

این فایروال دارای یک فایل کانفیگ می باشد که تنظیمات اصلی در آن قرار می گیرد، با یک ویرایشگر آن را باز کنید :

اگر که شما فایروال خود را تنظیم نکرده اید، باید آن را از حالت TESTING یا آزمایشی خارج کنید برای همین در مسیری که به شما گفتم مقدار TESTING را از 1 به 0 تغییر دهید :

شما می توانید در مسیری که گفته شده تنظیمات پیشرفته تری را وارد کنید که در ادامه به آن می پردازم.

تنظیمات پورت های سرور

در فایل csf.conf شما می توانید پورت های مورد نظر را باز کنید یا ببندید، پس بهتر است با تصمیم گیری صحیح روی پورت های خود اعمال محدودیت کنید.

شما برای باز کردن ترافیک ورودی (TCP) به پورت ها می توانید شماره پورت مورد نظر را وارد کنید :

شما در بخش زیر می توانید به پورت های مورد نظر خود مجوز ترافیک خروجی (TCP) از سرور خود دهید :

همچنین برای باز کردن ترافیک ورودی (UDP) به پورت ها می توانید شماره پورت مورد نظر را وارد کنید :

برای باز کردن  ترافیک خرو جی (UDP) شماره پورت های خود را می توانید وارد کنید :

بعد از انجام تغییرات باید سرویس CSF را حتما ریستارت کنید

تنظیمات Ping Server

شما می توانید با تغییر مقادیر ICMP_IN پینگ سرور خود را از 1 به 0 و برعکس تنظیم کنید. اگر این مقدار برابر 1 باشد پینگ سرور شما باز خواهد بود و اگر این مقدار برابر با 0 باشد پینگ سرور شما به طور کامل بسته خواهد شد.

اگر سایت شما خدمات آنلاین ارائه می دهد بهتر است پینگ سرور شما باز باشد تا بتوانید آپتایم بودن سرور خود را بررسی کنید‌

عبارت دیگری که به آن می پردازم ICMP_OUT نام دارد که بهتر است مقدار آن 1 باشد، چرا که اگر برابر با 0 باشد پینگ سرور از درون بسته می شود و سرور دچار اختلال می شود.

محدود کردن در تعداد آیپی های بلاک شده

شما می توانید به DENY_IP_LIMIT مقدار دهید که حداکثر چقدر آیپی می تواند در لیست سیاه CSF قرار بگیرد، این مقدار به صورت پیشفرض برابر با 200 می باشد.

همچنین می توانید برای آیپی های به صورت موقت محدودیت ایجاد کنید که این کار با مقدار دهی DENY_TEMP_IP_LIMIT صورت می گیرد، این مقدار به صورت پیشفرض برابر 100 می باشد.

توجه کنید در صورت دادن مقادیر بالا به بخش های توضیح داده شده (محدودیت دائم و موقت) فایروال سرور شما کند خواهد شد

بسته های غیر قانونی را محدود کنید!

برای جلوگیری از بسته های غیر قانونی، اشتباه و بدون کاربرد روی سرور باید مقدار  PACKET_FILTER برابر با 1 قرار دهید :

این مطلب را از دست ندهید:  باگ cgi چیست و نحوه کارکرد آن چگونه است

حملات SYNFLOOD کنترل کنید!

با این ابزار شما می توانید حملات SYNFLOOD روی سرور خود کنترل کنید، اگر این بخش را فعال کنید برقراری اتصال های جدید به سرور شما با کندی مواجه خواهد شد. شما می توانید هنگام بروز حملات SYNFLOOD این بخش را فعال نمایید.

کنترل حملات DoS

یکی دیگر از ویژگی های فایروال CSF  توانایی کنترل  کانکشن ها و جلوگیری از حملات DoS می باشد، این کار با مقدار دهی به پارامتر CONNLIMIT  انجام می شود.

در مقدار دهی بالا ذکر شده است که تعداد کانکشن های همزمان مجاز برای هر آیپی روی پورت 22 حداکثر 3 کانکشن و روی پورت 80 حداکثر 20 کانکشن باشد.

حملات PORTFLOODING را کنترل کنید!

از دیگر امکانات فایروال CSF کنترل کانکشن های پورت خاص می باشد که می تواند از حملات DDoS جلوگیری کند.

برای مثال اگر یک آیپی خاص بیش از 20 درخواست در یک ثانیه به پورت 80 داده بود آیپی به مدت 300 ثانیه به صورت موقت مسدود خواهد شد. همچنین اگر بیش از 3 کانکشن به پورت 22 زده شود آیپی مورد نظر به مدت 300 ثانیه بلاک خواهد شد .

محدود کردن آیپی کشور ها

یکی دیگر از امکانات این فایروال اعمال محدودیت روی آیپی های مربوط به کشوری خاص است، به طور مثال اگر شما می خواهید تمامی آیپی های کشور چین یا روسیه را بلاک کنید به صورت زیر عمل کنید :

و اگر شما سرویسی ارائه می دهید که می خواهید فقط آیپی مربوط به ایران در دسترس باشند از دستور زیر استفاده کنید :

فایل های مهم فایروال CSF

  • csf.allow : محل قرار گیری آدرس آیپی مجاز می باشد (لیست سفید)
  • csf.deny : آیپی های غیرمجاز و بلاک شده (لیست سیاه)
  • csf.ignore : لیست آیپی هایی می باشد که به هیچ عنوان توسط فایروال بلاک نخواهند شد
  • csf.*ignore : فایلی است شامل لیستی از آیپی ها، یوزرها، دایرکتوری هایی که به هیچ عنوان توسط فایروال بلاک نخواهند شد

برخی دستورات فایروال CSF

این سرویس مانند دیگر سرویس های سرور های لینوکسی قابلیت توقف،‌ استارت،‌ ریستارت و بررسی وضعیت سرویس را دارد.

برای استارت سرویس از دستور زیر استفاده کنید :

برای توقف سرویس از دستور زیر استفاده کنید :

برای ریستارت سرویس از دستور زیر استفاده کنید :

اگر می خواهید وضعیت آن را مورد بررسی قرار دهید از دستور زیر استفاده کنید :

اگر شما روی تنظیمات فایروال CSF تغییراتی داده اید، باید برای اعمال تغییرات فایروال CSF را ریستارت کنید، برای این کار از دستور زیر استفاده کنید :

آرین لاوی

آرین لاوی هستم؛ هم بنیانگذار " آقای امنیت " که حاصل تجربه های خودم در حوزه تخصصی امنیت وب و امنیت وردپرس را برایتان می نویسم و تلاش میکنم به شما کمک کنم تا وبسایت امنی داشته باشید.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن