به نقل از «ساتین»

آموزش نصب و کانفیگ حرفه ای فایروال CSF در لینوکس

تاریخ انتشار: ۶ آذر ۱۳۹۶ | کد خبر: ۱۵۸۳۳۷۶۰

در این آموزش قصد داریم نحوه نصب فایروال CSF بر روی انواع سرور های لینوکسی و همچنین کانفیگ آن را به شما آموزش دهیم

این کانفیگ برای سرور های مجازی و سرور های اختصاصی معتبر می باشد

نحوه نصب فایروال CSF

ابتدا از طریق putty وارد سرور لینوکسی خود شوید ، سپس دستورات زیر را یکی یکی کپی کرده و منتظر بمانید تا پروسه آن به پایان رسد

wget https://download.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

سپس برای تست ماژول های iptables مورد نیاز csf دستور زیر را وارد کنید :

perl /usr/local/csf/bin/csftest.pl

شما نباید از فایروال های دیگر در سرور خود استفاده نمایید تا تداخل ایجاد نشود ، برای مثال اگر شما قبلا از APF+BFD استفاده کرده اید باید آنها را با دستور زیر حذف کنید در غیر این صورت تداخل ایجاد خواهد شد :

sh /usr/local/csf/bin/remove_apf_bfd.sh

فایل پیکربندی فایروال csf در مسیر زیر می باشد :

/etc/csf/csf.conf

شما می توانید با رابط گرافیکی خود csf از سی پنل و دایرکت ادمین خود به این فایل دسترسی پیدا کنید و آن را ویرایش کنید و یا از دستور nano برای ویرایش آن استفاده کنید.

در کنترل پنل های سی پنل و دایرکت ادمین پس از نصب فایروال csf به طور خودکار تمام پورت های پیش فرض استاندارد در فایروال باز خواهد شد.

csf در هنگام نصب به طور خودکار پورت ssh شما را وارد لیست پورت های باز خواهد کرد.

شما باید اطمینان پیدا کنید که klogd در کرنل شما فعال باشد ، به طور مثال klogd در سرور های مجازی رد هت یا centos ورژن ۵ به طور پیش فرض غیر فعال است که با ویرایش فایل /etc/init.d/syslog آن را فعال کنید و اطمینان پیدا کنید که هر خط klogd به صورت comment نباشد ( در صورت استفاده از # در فایل تنظیم غیر فعال خواهد شد) اگر شما روی این فایل تغییر ایجاد کردید پس از آن حتما syslog را ری استارت کنید.

/etc/rc.d/init.d/syslog restart

توجه : قبل از ایجاد هر تغییری از تنظیمات فعلی این سایت حتما پشتیبان تهیه کنید.

اولین گزینه که در csf.conf هست مربوط میشه به حالت فعال بودن آزمایشی یا آماده به کار

TESTING = “۰″

در این جا ما دو تا حالت داریم یکی صفر و یکی “یک” که اگه یک قرار بدیم مثل این میمونه که ما اصلا CSF رو نصب نکردیم و اگر ۰ قرار بدیم CSF فعال میشه پس ما صفر رو انتخاب میکنیم و میریم سراغ کانفیگ بعدی.

این مرحله مربوط میشه به مدت زمان بین چک کردن رول های خود CSF که بر حسب دقیقه هست در واقع یه Cron هست و CSF رو استارت میکنه

TESTING_INTERVAL = “۱″

و میتونه بین ۱ تا ۵ دقیقه باشه توصیه میشه روی ۱ قرار بدید چون هرچه مدت زمان بین چک کردن رول ها کمتر باشه بهتر است

AUTO_UPDATES = “۰″

این گزینه همون طور که از اسمش پیدا هست وظیفش اینه که به طورت اتوماتیک خودش رو آپدیت نگه داره که اگه “یک” قرار بدید غیر فعال میشه و خودش رو آپدیت نمیکنه ولی اگه “صفر” قرار بدید CSF به صورت اتوماتیک خودش رو آپدیت میکنه پس بهترین گزینه برای این کانفیگ ست کردن صفر هست چون ممکنه باگی توی CSF پیدا بشه و شما متوجه نشید برا همین ۰ انتخاب میکنیم

ETH_DEVICE = “eth0,eth1″

CSF به صورت اتوماتیک بر روی تمام کارت شبکه های سرور شما رول ها رو اعمال میکنه پس اگه خالی گذاشتید تمام کارت های شبکه شما پشت فایروال قرار میگیره ولی بعضی وقت ها ممکنه تعداد کارت های شبکه سرور شما چند تا باشه که شما میخواید فقط تعدادی از اون ها پشت CSF باشه برا همین توی این کانفیگ اون ها رو مشخص میکنیم و با علامت “,” از هم دیگه جداشون میکنیم .

ETH_DEVICE_SKIP = “eth2,eth3″

این کانفیگ همون طور که از اسمش پیدا هست میتونید اون کارت شبکه هایی که نمیخواید پشت فایروال قرار بگیره رو قرار بدید در واقع آزاد باشه

خوب حالا میخوایم بریم سراغ یه سری تنظیمات که خیلی مهم هست در واقع مدیریت پورت های سرور هست پس مواظب باشید دارید چه پورتی رو باز میزارید و چه پورتی رو میبندید

TCP_IN = “۲۰,۲۵,۵۳,۸۰,۱۱۰,۴۶۵″

همون طور که از اسمش پیدا هست پورت هایی رو میتونید اینجا باز کنید که از بیرون از سرور به سرور دسترسی داشته باشند در واقع پورت هایی که اجازه ورود به سرور رو دارند شما اگه نمیدونید چه پورتی برای چه کاری هست بهتر هست به تاپیک معرفی پورت ها یه سری بزنید و و ببینید چه پورتی برای چه کاری هست اینجا دیگه بستگی به شما داره که چه سرویس هایی روی سرور خودتون دارید و از چه پورت هایی دارید استفاده میکنید

کانفیگ بعدی مربوز میشه به :

TCP_OUT = “۲۰,۲۱,۲۲,۲۵,۳۷,۴۳,۵۳,۸۰,۱۱۰″

این کانفیگ هم مربوط میشه به پورت هایی که از سرور به بیرون باز باشد در واقع پورت هایی که از توی سرور به بیرون از سرور باز باشه خوب حالا این ها مربوط میشه به TCP پورت که با UDP تفاوت داره اشتباهی نگیرید

حالا میریم سراغ پورت های UDP

که UDP_IN پورت های UDP از بیرون به داخل رو باز میکنه

UDP_IN = “۵۳″

در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواید باز باشه

UDP_OUT = “۲۰,۲۱,۵۳,۱۱۳,۱۲۳,۸۷۳,۶۲۷۷″

وقتی پورت ها کانفیگ کردیم میریم سراغ پروتکول ICMP که این هم بستگی به افراد داره بعضی وقت ها افراد دوست دارند باز باشه این رو فعال می کنند بعضی ها هم نه و میبندند ولی در صورت باز بودن میتونند یه سری حملات روی سرور داشته باشند راستش اگه در سطح سرور بسته هم بشه و حمله فوی باشه فایده ایی نداره ولی اگه بسته باشه بهتر هست
پس در کانفیگ زیر که ICMP رو از بیرون به داخل کانفیک میکنه :

ICMP_IN = “۰″

اگر عدد “یک” رو بزاریم ICMP باز است و میتونند پینگ کنند و شما Rate آین هم معلوم میکنید ولی اگه ۰ باشه که کلا بسته میشه برای تنظیم Rate اون هم کانفیگ زیر رو ادیت میکنیم عموما ۱ در ثانیه ست میکنند

ICMP_IN_RATE = “۱/s”

شاید شما دوست داشتید ۲ یا … بیشتر بزارید
حالا میریم سراغ باز یا بستم ICMP از داخل سرور به بیرون که باز بزارید کاریش نداشته باشید چون سرویس های شما قطعا نیاز داره

ICMP_OUT = “۱″
ICMP_OUT_RATE = “۰″

اگر دقت کرده باشید من ICMP_OUT_RATE رو عدد ۰ گذاشتم به معنی بی نهایت هست یا نا محدود

SMTP_BLOCK = “۱″

همون طور که از اسمش پیدا هست در مورد SMTP هست , که این کانفیگ ایمیل هایی که غیر از یوزر روت با SMTP میخواد فرستاده بشه ، بلاک میکنه . در سرور های هاستینگ اصلا توصیه نمیشه چون SMTP تمام یوزر ها رو میبنده اگه سروری دارید که هاستینگ هست گزینه ۱ رو انتخاب کنید . اگه سروری دارید که اصلا سیستم میل استفاده نمیشه ۰ رو انتخاب کنید

SMTP_ALLOWLOCAL = “۱″

اگر SMTP_BLOCK فعال کرده باشید این گزینه اجازه میده تنها از روی خود سرور توسط SMTP ایمیل فرستاده بشه یعنی اگه با Localhost فرستاده شد اجازه خروج از سرور رو بده غیر از این مثلا اگه از بیرون وصل شدند و خواستند SMTP ایمیل یزندد بلاک کنه اگر شما گزینه صفر رو انتخاب کنید تنها از روی خود سرور اجازه فرستادن ایمیل با SMTP داده میشه و اگر ۱ اصلا غیر فعال میشه

SMTP_PORTS = “۲۵″

این گزینه مربوط به پورتی هست که شما تنظیم کردید SMTP باهاش کار کنه که بیشتر موارد ۲۵ هست

DROP = “DROP”

همون طور که میدونید IPTABLES دو مدل برای دفع پاکت ها داره یکی Drop که پاکت ها از اسمش معلومه ریزش پیدا میکنه و یه مدل دیگه Reject که یه پاکت میفرسه که این پاکت ریجکت شده که توصیه نمیشه چون مشکل ساز هست پس بهترین مدل همون Drop هست

DROP_LOGGING = “۰″

این کانفیگ اگه گزینه ۰ رو انتخاب کنید لاگ میکنه پاکت هایی که Drop یا Reject شده و اگه ۱ رو اتخاب کنید لاگ نمیگیره از پاکت هایی که ه Drop یا Reject شده پیشنهاد میشه گزینه ۰ رو انتخاب کنید که در صورتی که مشکلی پیش اومد بدونید و دلیلش رو متوجه بشید و حلش کنید

DROP_IP_LOGGING = “۱″

این گزینه ایپی هایی که پاکت هاشون Drop یا Reject میشه رو بلاک میشکه , میشه گفت یکم خطریه پس بهتره عدد ۱ رو انتخاب کنید و رد بشید چون ایپی های معمولی و ساده بعضی وقت ها پاکت هاشون Drop میشه و این ریسک هست . پس نتیجه میگیریم بهتره گزینه ۱ است

DROP_ONLYRES = “۰″

این گزینه لاگ میکنه پورت های خاصی رو که مد نظر دارید که با “,” پورت ها رو از هم جدا کنید اگه ۰ صفر رو انتخاب کنید تمام پورت ها رو لاگ میکنه

DROP_NOLOG = “۶۷,۶۸,۱۱۱″

این گزینه هم پورت هایی که نمی خواید لاگ کنه رو مینویسید که توصیه میشه خالی بزارید تا همه پورت ها لاگ بشه

PACKET_—————— = “۱″

این گزینه هم لاگ میکنه پاکت هایی که خود IPTABLES تشخیص میده که نامشخص هست یعنی پاکت هایی که INVALID هستند ….

DROP_PF_LOGGING = “۰″

این گزینه هم لاگ کردن SYN Flood Protection رو فعال میکنه

SYNFLOOD = “۰″
SYNFLOOD_RATE = “۱۰۰/s”
SYNFLOOD_BURST = “۱۵۰″

Synflood اولی ، این تنظیم خود این Synflood Protection رو فعال میکنه و SYNFLOOD_RATE هم Rate رو مشخص میکنه و SYNFLOOD_BURST و این هم Burst که این تنظیمات بستگی به سرور شما و سطح حمله ایی که داره به سرور شما میشه به صورت دیفالت میتونید این ها رو قرار بدید اگر حمله شدیتر از این حرف ها بود Rate رو کمتر کنید تا به جایی برسه که دفع کنه حمله رو

PORTFLOOD = “”

این گزینه هم کانکشن ها رو هر پورت مدیریت میکنه برای مثال اگه شما این تنظیم رو بکنید برای مثال کانفیگ زیر رو ببینید به این معنیست که روی پورت ۸۰ از نوع TCP هر ایپی میتونه در مدت ۵ ثانیه ۲۰ تا کانکشن بندازه

PORTFLOOD = “۸۰;tcp;20;5″
VERBOSE = “۱″

VERBOSE این کار هایی که Iptables میکنه رو روی صحفه نمایش شما نشون میده که بهتره ۱ رو انتخاب کنید چون بعضی وقت ها دارید کانفیگ میکنید یه هو میبینید ۲۰ خط اومد تو صفحه مانیتورتون !

SYSLOG = “۰″

این هم برای فعال کردن SYSLOG که همیشه فعال نگهش دارید چون واقعا به کارتون میاد و لاگ های سیستم رو میندازه که مهم هست پس عدد ۰ رو انتخاب میکنیم !
حتما پس از انجام تغییرات بر روی ذخیره کلیک کرده و فایروال را ریست کنید

service csf restart

تنظیمات فایروال برای جلوگیری از حملات DOS و SYN

برای مشاهده آی پی ها و تعداد کانکشن های متصل به سرور می توانید از دستور زیر استفاده نمایید و هر آی پی ای که بیش از مجاز متصل بود آنرا بلاک نمایید

netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort -n

برای حفاظت از سرور در حملات SYN و DOS مقادیر زیر را در فایروال به مقادیر زیر تغییر دهید

CT_LIMIT = “80”

CT_INTERVAL = “50”
CT_PERMANENT = “1”
CT_BLOCK_TIME = “1800”
CT_INTERVAL = “60”
CT_SKIP_TIME_WAIT = “1”
SYNFLOOD = “1”
LF_DIRWATCH = “300”
PORTFLOOD = “80;tcp;20;300”

**

چه پورت هایی باید در فایروال باز باشند

[list type=”plus”]

پورت ۲۰ و پورت ۲۱ : این دو پورت مربوط به FTP هستند ، همچنین به یاد داشته باشید FTP از رنج شماره های بالا به صورت رندم برای پورت ها استفاده می کند ، برای مثال شما باید یک محدوده برای آن تعیین کنید و این محدوده را در فایل /etc/proftpd.conf اضافه کنید و در فایروال allow کنید

[/list]

[code]PassivePorts 35000 35999[/code]

[list type=”plus”]

 

پورت ۲۲: برای دسترسی به SSH ، همچنین شما می توانید پس از تغییر پورت SSH مقدار جدید را به جای ۲۲ وارد نمایید
پورت ۲۵ و پورت ۵۸۷ : این پورت ها باید باز باشند و درصورت مسدود بودن ارسال و دریافت ایمیل از سرور شما با مشکل مواجه خواهد شد

پورت ۵۳ : برای سرویس named ( دی ان اس ها ) استفاده می شود
پورت ۸۰ و پورت ۴۴۳ : برای اتصال آپاچی از طریق http و https
پورت ۱۱۰ و پورت ۹۹۵ : دسترسی یوزر ها به pop email
پورت ۱۴۳ و پورت ۹۹۳ : دسترسی یوزرها به imap email

پورت ۳۳۰۶ : اگر از دیتابیس ها به صورت ریموت استفاده می کنید این پورت را allow کنید ، در غیر اینصورت اگر استفاده اسکریپت های شما به صورت local می باشد این پورت را allow نکنید

پورت ۲۲۲۲ : برای دسترسی به دایرکت ادمین نیاز هست ( اگر سرور شما دایرکت ادمین می باشد باید حتما allow باشد )

پورت ۲۰۸۲ ، پورت ۲۰۸۳ ، پورت ۲۰۸۶ ، پورت ۲۰۸۷ ، پورت ۲۰۹۵ : درصورتیکه cpanel/whm بر روی سرور شما نصب هست این پورت ها را allow کنید

[/list]

**

چه کشورهایی در فایروال بسته شوند؟

کشور های زیر را در فایروال دسترسیشان را قطع کنید ، کشور ها شامل آسیای شرقی ، آفریقا و امریکای جنوبی می باشند

CN,SA,CH,RO,SE,PH,TR,VE,SE,BR,CL,IN,AE,MX,ID,VN,TH,LK,NG,KE,AR,EC,PA,PK,MY,RU,IQ,EU,CO,PS,UA,KH,HK,CZ,BD,RO,PH,KR,TW

این کار را می توانید در قسمت CC_Deny انجام دهید

**

نحوه تنظیم PORTFLOOD و CONNLIMIT در CSF

تنظیم و کانفیگ صحیح فایروال موجب کاهش میزان اتک ها به سرور شما و درنتیجه کاهش لود سرور و افزایش سرعت بارگزاری می شود .

در این آموزش سعی داریم نحوه صحیح نوشتن تنظیمات این دو گزینه در فایروال CSF را آموزش دهیم .

PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

عبارت فوق را برای نمونه در نظر بگیرید.  این عبارت یعنی :

۲۲;tcp;5;300

۱- اگر یک آی پی بیش از ۵ کانکشن tcp به پورت ۲۲ تا ۳۰۰ ثانیه متصل بود ، سپس آی پی مورد نظر را از اتصال به پورت ۲۲ تا ۳۰۰ ثانیه پس از مشاهده آخرین تلاش برای اتصال مسدود کن

۲- مثال دوم نیز به همین شکل هست وبرای پورت ۸۰ تا سقف ۲۰ کانکشن همزمان و ۵ ثانیه تعریف شده ، برای سایر پورت ها نیز می توانید با قرار دادن یک ویرگول اضافه نمایید.

CONNLIMIT = “22;5,80;20”

۱- حداکثر ۵ کانکشن همزمان برای پورت ۲۲ به ازای هر آی پی اجازه اتصال بده

۲- حداکثر ۲۰ کانکشن همزمان برای پورت ۸۰ به ازای هر آی پی اجازه اتصال بده

**

fail شدن پینگ ها پس از فعال شدن فایروال ( CSF )

درصورتیکه پس از فعال شدن فایروال تست پینگ از سرور شما fail می شود ( در فایروال CSF ) خط زیر را در فایل کانفیگ فایروال بیابید .

ICMP_IN_RATE

و مقدار آنرا به بیش از ۳۰ در هر ثانیه یا ۰ قرار دهید

**

چک کردن وضعیت آی پی در CSF از طریق ssh

برای چک کردن وضعیت آی پی که آیا بلاک شده یا در لیست سفید قرار گرفته از طریق خط فرمان لینوکس از دستور زیر استفاده نمایید

csf -g

**

تغییر پورت دایرکت ادمین از ۲۲۲۲ به پورت دلخواه

دایرکت ادمین یکی از کنترل پنل های بسیار محبوب هاستینگ است ، با توجه به محبوبیت بالا این پنل رعایت نکات امنیتی آن بسیار ضروری است ، یکی از مواردی که بهتر است در مورد امنیت دایرکت ادمین رعایت کنید تغییر پورت دایرکت ادمین است ، در حالت پیش فرض تمام پورت های پیش فرض دایرکت ادمین ۲۲۲۲ می باشد ، در این مقاله قصد داریم آموزش تغییر پورت دایرکت ادمین توسط ssh از ۲۲۲۲ به پورت دلخواه را توسط ssh سرور و همچنین از خود پنل دایرکت ادمین به شما توضیح دهیم.

توجه : قبل از هر تغییری اطمینان پیدا کنید پورت جدید در فایروال شما باز شده باشد

نحوه تغییر پورت دایرکت ادمین در SSH

ابتدا توسط نرم افزار Putty وارد ssh سرور خود شوید و سپس با دستور زیر فایل تنظیمات دایرکت ادمین خود را ویرایش کنید : در اینجا ما قصد داریم پورت ۴۰۴۸ را روی دایرکت ادمین خود تنظیم کنیم.

nano /usr/local/directadmin/conf/directadmin.conf

سپس به دنبال port= بگردید و مقدار

port=2222

را به

port=4048

تغییر دهید و سپس با کلید Ctrl + X و فشار دادن دکمه Enter فایل را ذخیره می کنیم.

سپس با دستور زیر پورت وارد شده در فایل redirect.php را نیز تغییر می دهیم.

nano /var/www/html/redirect.php

مقدار

header(“Location: http://”.$_SERVER

[‘HTTP_HOST’].”:2222″);

را به

header(“Location: http://”.$_SERVER[‘HTTP_HOST’].”:4048″);

 

تغییر دهید و سپس با کلید Ctrl + X و فشار دادن دکمه Enter فایل را ذخیره می کنیم و سپس با دستور زیر دایرکت ادمین را ری استارت می کنیم :

service directadmin restart

حتما از باز بودن پورت جدید در فایروال سرور خود اطمینان پیدا کنید.

**

نحوه حذف فایروال CSF

برای حذف فایروال CSF در سرور های لینوکسی وارد مسیر زیر شوید

cd /etc/csf

و سپس فایل زیر را اجرا کنید

sh uninstall.sh

ساتین

منبع: ساتین

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت saten.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ساتین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۵۸۳۳۷۶۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

۷۴ درصد از زندانیان ندامتگاه خورین ورامین مشغول به کار شدند

به گزارش خبرنگار مهر، شلالوند روز چهارشنبه در جمع خبرنگاران گفت: در راستای توسعه اشتغال پویا، با محوریت ظرفیت سازی برای اشتغال مددجویان، اقدامات حمایتی مناسبی برای زندانیان ندامتگاه خورین ورامین و خانواده‌های آنان صورت گرفته است.

شلالوند افزود: آموزش مهارت‌های شغلی و حرفه‌آموزی در ندامتگاه خورین ورامین امروز با جدیت دنبال می‌شود تا به عنوان یک راهکار مناسب، زمینه اشتغال زندانیان به ویژه پس از آزادی فراهم شود.

مدیر ندامتگاه خورین ورامین با اشاره به موضوع مهم اشتغال برای مددجویان اظهار داشت: ۷۴ درصد از زندانیان ندامتگاه ورامین در فضای زندان با آموزش‌های مناسب هم اکنون مشغول به کار هستند.

وی همچنین افزود: در راستای برگزاری دوره‌های آموزشی و اشتغال، برنامه‌های فرهنگی، اجتماعی و ورزش در دستور کار قرار دارد.

مدیر ندامتگاه خورین ورامین ادامه داد: از ابتدا سال جاری، ۲۵۰ زندانی در دوره‌های حرفه‌آموزی ثبت نام کردند، تا علاوه بر آموزش، مدرک حرفه‌آموزی از سازمان فنی‌حرفه‌ای دریافت کنند.

وی گفت: در سال گذشته تعداد ۹۰۳ زندانی پس از گذراندن دوره‌های آموزشی و قبولی در آزمون، موفق به کسب گواهینامه فنی حرفه ای شده اند.

گفتنی است به همت مسئولین ندامتگاه خورین شهرستان ورامین در حال حاضر، تعداد ۶۷۰ مددجو به صورت نشسته و ۹۵ نفر در کارگاه‌های این ندامتگاه مشغول به کار هستند.

کد خبر 6088194