Kako instalirati Config Server Firewall (CSF) na Debian/Ubuntu

ConfigServer i Sigurnosni zaštitni zid, skraćeno CSF, je otvoreni i napredni firewall dizajniran za Linux sisteme. On ne samo da pruža osnovnu funkcionalnost firewall-a, već nudi i široku lepezu dodatnih funkcija kao što su otkrivanje prijave/upada, provjere eksploatacije, ping zaštite od smrti i još mnogo toga.

Pored toga, takođe obezbeđuje integraciju korisničkog interfejsa za široko korišćene kontrolne panele kao što su cPanel, Webmin, Vesta CP, CyberPanel i DirectAdmin. Potpunu listu podržanih funkcija i operativnih sistema možete pronaći na službenoj web stranici ConfigServera.

U ovom vodiču ćemo vas provesti kroz instalaciju i konfiguraciju ConfigServer Security & Firewall (CSF) na Debian i Ubuntu .

Korak 1: Instalirajte CSF Firewall na Debian i Ubuntu

Prvo, morate instalirati neke zavisnosti prije nego što počnete s instaliranjem CSF zaštitnog zida. Na svom terminalu ažurirajte indeks paketa:

sudo apt update

Zatim instalirajte zavisnosti kao što je prikazano:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Kad to skinete s puta, sada možete preći na sljedeći korak.

Budući da CSF nije uključen u zadana Debian i Ubuntu spremišta, morate ga ručno instalirati. Da nastavite, preuzmite CSF tarball datoteku koja sadrži sve instalacione datoteke koristeći sljedeću komandu wget.

wget http://download.configserver.com/csf.tgz

Ovo preuzima komprimiranu datoteku pod nazivom csf.tgz.

Zatim raspakirajte komprimiranu datoteku.

tar -xvzf csf.tgz

Ovo kreira folder pod nazivom csf.

ls -l

Zatim idite u folder csf.

cd csf

Zatim instalirajte CSF Firewall tako što ćete pokrenuti prikazanu instalacijsku skriptu.

sudo bash install.sh

Ako je sve prošlo u redu, trebali biste dobiti rezultat kao što je prikazano.

U ovom trenutku, CSF je instaliran. Međutim, morate provjeriti da li su potrebni iptables učitani. Da biste to postigli, pokrenite naredbu:

sudo perl /usr/local/csf/bin/csftest.pl

Korak 2: Konfigurirajte CSF Firewall na Debianu i Ubuntuu

Potrebna je dodatna konfiguracija. Zatim moramo izmijeniti nekoliko postavki da omogućimo CSF. Dakle, prijeđite na csf.conf konfiguracijski fajl.

sudo nano /etc/csf/csf.conf

Uredite TESTING direktivu sa “1” na “0” kako je dolje navedeno.

TESTING = "0"

Zatim postavite RESTRICT_SYSLOG direktivu na “3” da ograničite pristup rsyslog/syslogu samo članovima RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Zatim možete otvoriti TCP i UDP portove tako što ćete locirati TCP_IN, TCP_OUT, UDP_IN,< i UDP_OUT direktive.

Podrazumevano se otvaraju sljedeći portovi.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Šanse su da vam nisu potrebni svi ti portovi otvoreni, a najbolje prakse poslužitelja zahtijevaju da otvorite samo portove koje koristite. Preporučujemo da uklonite sve nepotrebne portove i ostavite one koje koriste servisi koji rade na vašem sistemu.

Kada završite sa navođenjem portova koji su vam potrebni, ponovo učitajte CSF kao što je prikazano.

sudo csf -r

Za popis svih pravila IP tablice definiranih na serveru, pokrenite naredbu:

sudo csf -l

Možete pokrenuti i omogućiti CSF firewall pri pokretanju na sljedeći način:

sudo systemctl start csf
sudo systemctl enable csf

Zatim potvrdite da firewall zaista radi:

sudo systemctl status csf

Korak 3: Blokiranje i dopuštanje IP adresa u CSF Firewall-u

Jedna od ključnih funkcionalnosti zaštitnog zida je mogućnost da dozvoli ili blokira pristup IP adresama serveru. Sa CSF, možete staviti na bijelu listu (dozvoli), crnu listu (odbiti) ili zanemariti IP adrese modificiranjem sljedećih konfiguracijskih fajlova:

  • csf.allow
  • csf.deny
  • csf.ignore

Blokirajte IP adresu u CSF-u

Da blokirate IP adresu, jednostavno pristupite csf.deny konfiguracijskoj datoteci.

sudo nano /etc/csf/csf.deny

Zatim navedite IP adrese koje želite blokirati. Možete odrediti IP adrese red po red kao što je prikazano:

192.168.100.50
192.168.100.120

Ili možete koristiti oznaku CIDR za blokiranje cijele podmreže.

192.168.100.0/24

Dozvolite IP adresu u CSF-u

Da biste dozvolili IP adresu putem Iptablesa i isključili je iz svih filtera ili blokova, uredite csf.allow konfiguracijski fajl.

sudo nano /etc/csf/csf.allow

Možete navesti IP adresu po redu ili koristiti CIDR adresiranje kao što je prethodno prikazano prilikom blokiranja IP adresa.

NAPOMENA: IP adresa će biti dozvoljena čak i kada je eksplicitno definirana u csf.deny konfiguracijskoj datoteci. Da biste bili sigurni da je IP adresa blokirana ili na crnoj listi, uvjerite se da nije navedena u datoteci csf.allow.

Isključite IP adresu u CSF-u

Dodatno, CSF vam pruža mogućnost da isključite IP adresu iz IPtabela ili filtera. Svaka IP adresa u datoteci csf.ignore bit će izuzeta iz iptables filtera. Može se blokirati samo ako je navedeno u datoteci csf.deny.

Da biste izuzeli IP adresu iz filtera, pristupite datoteci csf.ignore.

sudo nano /etc/csf/csf.ignore

Još jednom, možete navesti IP-ove red po red ili koristiti CIDR notaciju.

Zaključak

I to završava naš današnji vodič. Nadamo se da sada možete instalirati i konfigurirati CSF firewall bez problema.