آموزش نصب فایروال csf در سیستم عامل centos 7

با سلام خدمت کاربران محترم فراویر در این پست به آموزش نصب فایروال csf در سیستم عامل centos 7 می پردازیم.
یکی از قوی ترین و محبوب ترین فایروال ها برای سیستم های لینوکسی, فایروال csf می باشد .
همچنین این فایروال رایگان است و می توان از آن در کنترل پنل های cPanel و DirectAdmin به کار گرفته شود
برای این آموزش پیش نیاز هایی نیاز است که باید ابتدا آن ها را مهیا کنید:
داشتن سیستم عامل لینوکس centos 7
دسترسی به یوزر روت
قدم اول: نصب کردن perl و بسته های مورد نیاز :
به علت طراحی csf بر پایه perl باید ابتدا perl را نصب کنید:
yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes
قدم دوم : نصب کردن فایروال csf :
ابتدا باید به مسیر /usr/src/ بروید و در آن جا csf را دانلود نمایید.
/cd /usr/src
wget https://download.configserver.com/csf.tgz
بعد از دانلود باید فایل فشرده را استخراج کنید و بعد به پوشه csf بروید و نصب را انجام دهید:
tar -xzf csf.tgz
cd csf
sh install.sh
که پس از پایان نصب باید پیامی مانند زیر را مشاهده کنید :
سپس باید بررسی کنیم ببینیم فایروال به درستی نصب شده است یا نه ؟
برای انجام این کار باید ابتدا به مسیر usr/local/csf/bin بروید .آدرس زیر را وارد کنید :
cd /usr/local/csf/bin/
سپس باید دستور زیر را وارد کنید :
perl csftest.pl
در این صورت باید پیامی شبیه زیر را دریافت کنید که به معنای نصب درست csf است و به خوبی کار می کند.
قدم سوم : انجام تنظیمات کانفیگ و پیکربندی فایروال csf :
ابتدا باید توجه داشته باشید در سیستم عامل سنتوس 7 یک فایروال به اسم Firewalld به صورت پیشفرض قرار دارد .
ما باید ابتدا آن را حذف کنیم :
systemctl stop firewalld
systemctl disable firewalld
با استفاده از دستورات بالا فایروال پیشفرض را حذف می نماییم.
سپس برای کانفیگ csf باید به پوشه پیکربندی آن (/etc/csf/) برویم و در آن جا فایل csf.conf را باید ویرایش کنیم:
cd /etc/csf/
nano csf.conf
سپس در محیط ویرایش گر باید برای فعال سازی فایروال در خط 11 باید مقدار عبارت TESTING را (0) بگذارید.
“TESTING = “0
بعد از ویرایش با فشردن کلید های ctrl + x از حالت ویرایش خارج شوید و آن را ذخیره کنید.
سپس برای راه اندازی سرویس های csf و lfd باید از دستورات زیر استفاده کنید :
systemctl start csf
systemctl start lfd
و برای فعال سازی خودکار بعد از ری استارت باید آن را در لیست startup ها قرار دهیم :
systemctl enable csf
systemctl enable lfd
و همچنین سپس می توانید با استفاده از دستور زیر لیست پیشفرض csf را دریافت کنید :
csf -l
قدم چهارم : معرفی دستورات عمومی کار با csf :
فعال کردن فایروال : csf -s
خاموش کردن فایروال : csf -f
ریست rule های ایجاد شده در فایروال :csf -r
افزودن یک ip مجاز در csf و افزودن آن به لیست سفید : csf -a 192.168.1.109
در صورت استفاده از دستور بالا شما خروجی مانند زیر را مشاهده می کنید:
…Adding 192.168.1.109 to csf.allow and iptables ACCEPT
ACCEPT all opt — in !lo out * 192.168.1.109 -> 0.0.0.0/0
ACCEPT all opt — in * out !lo 0.0.0.0/0 -> 192.168.1.109
و همچنین برای حذف کردن ip از لیست سفید باید از این دستور استفاده کنید :
csf -ar 192.168.1.109
که در حالت خروجی مانند زیر دریافت می کنید :
…Removing rule
ACCEPT all opt — in !lo out * 192.168.1.109 -> 0.0.0.0/0
ACCEPT all opt — in * out !lo 0.0.0.0/0 -> 192.168.1.109
برای قفل کردن یک آی پی (بلاک کردن) وقرار دادن در لیست سیاه :
csf -d 192.168.1.109
خارج کردن یک ip از لیست سیاه :
csf -dr 192.168.1.109
خارج کردن همه آی پی ها از لیست سیاه :
csf -df
قدم پنجم : تنظیمات پیشرفته فایروال csf :
در این بخش به بعضی از تنظیمات مهم csf می پردازیم :
ابتدا برای شروع ویرایش به فایل پیکر بندی csf به نام csf.conf مراجعه کنید .دستورا زیر را به ترتیب وارد کنید :
cd /etc/csf/
nano csf.conf
سپس برای اعمال هر یک از تغییرات زیر باید بخش مربوطه را ویرایش کنید :
غیرفعال نشدن ip هایی که در لیست سفید قرار دارند :
با این کار هرگز آی پی هایی که در لیست سفید قرار دارند مسدود نمی شوند.
باید به خط 272 مراجعه کنید و آن را به عبارت زیر تغییر دهید :
“ICMP_IN = “1
سپس در خط 159 برای مجاز نمودن ترافیک خروجی icmp عبارت زیر را جایگزین کنید :
“ICMP_OUT = “1
غیر مجاز کردن آی پی های خاص مثالا آیپی یک کشور :
برای این کار به خط 836 مراجعه کنید و کد کشور مورد نظر را در قسمت های CC_DENY (کشور های بلاک شده) و CC_ALLOW (کشور های مجاز) قرار دهید:
“CC_DENY = “CN,UK,US
“CC_ALLOW = “ID,MY,DE
در یافت لاگ ها از طریق ایمیل (لاگ های مربوط به ورود کاربران) توسط shh و با دسترسی ادمین :
با انجام این کار در صورتی که هر شخصی از طریق ssh و یا از دستور su برای دسترسی روت استفاده کند csf توسط ارسال ایمیل به شما گزارش می دهد.
برای این کار باید به خط 1059 مراجعه نمایید و سپس به ترتیب مقدار عبارات زیر را تغییر دهید :
“LF_SSH_EMAIL_ALERT = “1
“LF_SU_EMAIL_ALERT = “1
و در ادامه به خط 588 بروید و ایمیل خود را باید وارد کنید :
“LF_ALERT_TO = “mymail@mydomain.com
همچنین می توانید برای آشنایی بیشتر با این تنظیما ت فایل etc/csf/csf.conf را مشاهده نمایید و بررسی کنید.
امیدوارم از این آموزش لذت برده باشید همراه همیشگی شما فراویر 🙂
