CSF防火墙是国外一公司开发的Linux免费防火墙,它基于Iptables防火墙工作。它能有效缓解服务器压力,具有自动屏蔽暴力破解密码IP、管理开放端口、免疫轻量DDos和CC等等功能。同时,安装和使用也极为简便,在我们常用的DirectAdmin和cPanel面板还有图形化操作界面。
它支持以下常用的Linux操作系统
RedHat Enterprise v5 to v7
CentOS v5 to v7
CloudLinux v5 to v7
Fedora v20 to v22
openSUSE v10, v11, v12
Debian v3.1 - v9
Ubuntu v6 to v15
Slackware v12
本文就来讲述一下CSF防火墙安装过程
- 安装CSF防火墙
在Linux类操作系统下的SSH执行以下命令行
apt-get install perl-libwww-perl perl iptables #Debian/Ubuntu等
yum install perl-libwww-perl perl iptables #CentOS/RHEL/CloudLinux等
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
大约半分钟后,安装完毕。
如果以前安装过APF防火墙的需要卸载:
sh /etc/csf/remove_apf_bfd.sh
测试CSF防火墙是否安装成功
perl /etc/csf/csftest.pl
如果显示以上信息,表示安装成功。
- CSF防火墙配置教程
如果使用DirectAdmin面板,请直接登陆管理员端,选择CSF Security & Firewall进入图形化界面设定。
如果使用WHM/cPanel面板下,请登陆WHM,插件,CSF Security & Firewall配置相关信息。
其他用户请向下看。
CSF配置文件路径:/etc/csf/csf.conf
白名单路径:/etc/csf/csf.allow
黑名单路径:/etc/csf/csf.deny
用WinSCP登录服务器SFTP,直接编辑CSF配置文件。
1.端口洪水攻击保护
跳转到文件第524行,输入规则。
PORTFLOOD = "22;tcp;5;300,80;tcp;20;5"
说明:
如果300秒内有5个以上连接到tcp端口22的连接,则至少在发现最后一个数据包300秒后阻止该IP地址访问端口22,即在该阻止被取消前有300秒的"安静" 期。
如果5秒内有20个以上连接到tcp端口80的连接,则至少在发现最后一个数据包5秒后阻止该IP地址访问端口80,即在该阻止被取消前有5秒的"安静" 期。
2.设置开放端口
跳转到文件第139行,输入规则。
#输入端口
TCP_IN = “开放端口1,开放端口2,开放端口3........"
#输出端口
TCP_IN = “开放端口1,开放端口2,开放端口3........"
#在某些程序要求打开一定范围的端口的情况下,例如FTP的passive mode,可使用类似 30000:35000 的方式打开30000-35000范围的端口。
3.启动CSF防火墙
设置完毕后,关闭测试模式,将TESTING = "1"改为TESTING = "0"
执行:
/etc/init.d/csf -s
/etc/init.d/lfd start #lfd模块,记录防御日记
4.解封IP:修改/etc/csf/csf.deny,将需要解封的IP删除即可。
文章评论