Segurança

Como adicionar regras de iptables personalizadas no Firewall do CSF

Como adicionar regras de iptables personalizadas no Firewall do CSF

CSF (ConfigServer Firewall) é um firewall baseado em iptables, fornece uma maneira mais fácil de implementar iptables regras. Às vezes precisamos adicionar regras específicas (e.g. regras iptables não cobertas pelo CSF) para adicionar no LCR. Se adicionarmos essas regras usando o comando iptables diretamente do shell, eles serão apagados no próximo CSF ​​reiniciar. Depois de instalar o Firewall do CSF ​​no Linux, este artigo ajudará você a adicionar regras de iptables personalizadas no Firewall do CSF.

CSF fornece pré e publicar scripts, onde o pré é executado antes e o post é executado após a aplicação das regras pelo Firewall do CSF. Por exemplo, você deseja abrir a porta 3306 (padrão MySQL) para IP específico. Você pode adicionar regras seguintes para pré ou postar script

  • CSFPRE.sh - Para executar comandos externos antes do CSF ​​configurar iptables
  • CSFPOST.sh - Para executar comandos externos após o CSF ​​configurar iptables

Antes das regras do CSF

Crie um arquivo/etc/csf/csfpre.sh e adicione as regras iptables, que você deseja executar antes do CSF ​​aplicar regras próprias.

iptables -i entrada -s 1.2.3.4 -P TCP -M State -Estado novo -m TCP - -Dport 3306 -j Aceitar
Após as regras do CSF

Crie um arquivo/etc/csf/csfpost.sh e adicione as regras iptables, que você deseja aplicar após o CSF ​​adicionar suas próprias regras ao firewall.

iptables -i entrada -s 1.2.3.4 -P TCP -M State -Estado novo -m TCP - -Dport 3306 -j Aceitar
Reinicie o CSF

Para reiniciar o CSF, basta digitar o comando abaixo e assistir aos resultados. O CSF produz muita saída para que você não veja uma saída inteira em um script, então adicione também mais comando para ver resultados sábios.

CSF -R | mais

Veja abaixo da parte da saída da saída

… Cadeia de exclusão 'LocalOutput' Chain 'Chain' logdropin 'Chain de deleta' Logdropout 'em execução/etc/csf/csfre.SH Drop TCP Opt - IN * OUT * 0.0.0.0/0 -> 0.0.0.0/0 TCP DPT: 67 DROP UDP OPT - IN * OUT * 0.0.0.0/0 -> 0.0.0.0/0 UDP DPT: 67… Aceite TCP Opt - IN * OUT !lo 0.0.0.0/0 -> 8.8.8.8 TCP DPT: 53 LocalOutput toda opt - IN * OUT !lo 0.0.0.0/0 -> 0.0.0.0/0 LocalInput toda opt - em !lo out * 0.0.0.0/0 -> 0.0.0.0/0 LocalOutput todo Opt em * OUT !lo ::/0 -> ::/0 LocalInput todo opto em !lo out * ::/0 -> ::/0 em execução/etc/csf/csfpost.sh

Obrigado! Para usar este artigo. Clique aqui para ler mais sobre a configuração do CSF.