Debian/Ubuntu-da “Config Server Firewall” (CSF) -ni nädip gurmaly


“ConfigServer” we “Security Firewall”, gysgaldylan CSF, Linux ulgamlary üçin döredilen açyk çeşme we ösen gorag diwary. Diňe gorag diwarynyň esasy işleýşini üpjün etmek bilen çäklenmän, giriş/çozuşy ýüze çykarmak, barlaglary ulanmak, ölümden goramak we ş.m. ýaly köp sanly goşmaça aýratynlyklary hödürleýär.

[Şeýle hem halamagyňyz mümkin: Linux ulgamlary üçin peýdaly 10 açyk çeşme gorag diwarlary]

Mundan başga-da, ConfigServer-iň resmi web sahypasy üçin UI integrasiýasyny üpjün edýär.

Bu gollanmada, Debian we Ubuntu-da “ConfigServer Security & Firewall” (CSF) gurnamasy we konfigurasiýasy bilen tanyşarys.

1-nji ädim: Debian we Ubuntu-da CSF Firewall guruň

Ilki bilen, CSF gorag diwaryny gurmak bilen başlamazdan ozal käbir garaşlylygy gurmaly. Terminalyňyzda paket indeksini täzeläň:

$ sudo apt update

Ondan soň, garaşlylygy görkezilişi ýaly guruň:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Bu ýoldan çykyp, indiki ädime geçip bilersiňiz.

CSF deslapky Debian we Ubuntu ammarlaryna goşulmaýandygy sebäpli, ony el bilen gurnamaly. Dowam etmek üçin aşakdaky wget buýrugyny ulanyp, ähli gurnama faýllaryny öz içine alýan CSF tarbol faýlyny göçürip alyň.

$ wget http://download.configserver.com/csf.tgz

Bu csf.tgz atly gysylan faýly göçürip alýar.

Ondan soň gysylan faýly çykaryň.

$ tar -xvzf csf.tgz

Bu csf atly bukja döredýär.

$ ls -l

Ondan soň csf bukjasyna geçiň.

$ cd csf

Soňra görkezilen gurnama skriptini işledip CSF Firewall guruň.

$ sudo bash install.sh

Hemme zat gowy bolsa, çykyşy görkezilişi ýaly almaly.

Bu pursatda CSF gurnaldy. Şeýle-de bolsa, zerur iptable-laryň ýüklenendigini barlamaly. Muňa ýetmek üçin buýrugy işlediň:

$ sudo perl /usr/local/csf/bin/csftest.pl

2-nji ädim: Debian we Ubuntu-da CSF Firewall-y sazlaň

Käbir goşmaça konfigurasiýa gerek Indiki, CSF-i işletmek üçin birnäçe sazlamany üýtgetmeli. Şeýlelik bilen, csf.conf konfigurasiýa faýlyna geçiň.

$ sudo nano /etc/csf/csf.conf

Synag görkezmesini aşakda görkezilişi ýaly “1” -den “0” -a redaktirläň.

TESTING = "0"

Ondan soň, diňe RESTRICT_SYSLOG_GROUP agzalaryna rsyslog/syslog girişini çäklendirmek üçin RESTRICT_SYSLOG direktiwasyny 3 -e düzüň.

RESTRICT_SYSLOG = "3"

Ondan soň, TCP_IN, TCP_OUT, UDP_IN we UDP_OUT görkezmelerini tapyp, TCP we UDP portlaryny açyp bilersiňiz.

Adaty tertipde aşakdaky portlar açylýar.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Şol portlaryň hemmesiniň açylmagynyň zerurlygy ýok, iň oňat serwer amallary diňe ulanýan portlaryňyzy açmagyňyzy talap edýär. Gereksiz portlaryň hemmesini aýyrmagyňyzy we ulgamyňyzda işleýän hyzmatlar tarapyndan ulanylýan portlary goýmagyňyzy maslahat berýäris.

Gerekli portlary kesgitläniňizden soň, görkezilişi ýaly CSF-i täzeden açyň.

$ sudo csf -r

Serwerde kesgitlenen IP tablisanyň ähli düzgünlerini sanamak üçin buýrugy işlediň:

$ sudo csf -l

Başlangyçda CSF gorag diwaryny aşakdaky ýaly başlap we işledip bilersiňiz:

$ sudo systemctl start csf
$ sudo systemctl enable csf

Soňra gorag diwarynyň hakykatdanam işleýändigini tassyklaň:

$ sudo systemctl status csf

3-nji ädim: CSF Firewall-da IP adresleri blokirlemek we rugsat bermek

Gorag diwarynyň esasy funksiýalarynyň biri IP adresleriniň serwere girmegine rugsat bermek ýa-da blokirlemek ukybydyr. CSF bilen aşakdaky konfigurasiýa faýllaryny üýtgedip IP sanawlaryny ak sanawlaşdyryp (rugsat berip), gara sanawdan (inkär edip) ýa-da IP adreslerini äsgermezlik edip bilersiňiz:

  • csf.allow
  • csf.deny
  • csf.ignore

IP adresi blokirlemek üçin diňe csf.deny konfigurasiýa faýlyna giriň.

$ sudo nano /etc/csf/csf.deny

Soňra blokirlemek isleýän IP adresleriňizi görkeziň. IP adreslerini görkezilişi ýaly setir boýunça görkezip bilersiňiz:

192.168.100.50
192.168.100.120

Ora-da tutuş bir seti blokirlemek üçin CIDR belligini ulanyp bilersiňiz.

192.168.100.0/24

Iptables arkaly IP adrese rugsat bermek we ony ähli süzgüçlerden ýa-da bloklardan çykarmak üçin csf.allow konfigurasiýa faýlyny redaktirläň.

$ sudo nano /etc/csf/csf.allow

Her setirde IP adresi sanap bilersiňiz, ýa-da IP-leri petikläniňizde ozal görkezilişi ýaly CIDR salgysyny ulanyp bilersiňiz.

BELLIK: IP adresi csf.deny konfigurasiýa faýlynda aç-açan kesgitlenende-de rugsat berler. IP adresiniň petiklenendigine ýa-da gara sanawa girendigine göz ýetirmek üçin onuň csf.allow faýlynda görkezilmändigine göz ýetiriň.

Mundan başga-da, CSF size IP adresini IPtables ýa-da süzgüçlerden aýyrmak mümkinçiligini berýär. Csf.ignore faýlyndaky islendik IP adresi iptables süzgüçlerinden boşadylýar. Diňe csf.deny faýlynda görkezilen ýagdaýynda blokirläp bolýar.

IP adresi süzgüçlerden boşatmak üçin csf.ignore faýlyna giriň.

$ sudo nano /etc/csf/csf.ignore

IPene-de bir gezek IP setirini setir boýunça sanap bilersiňiz ýa-da CIDR belligini ulanyp bilersiňiz.

Bu bolsa şu günki ýolbeletimizi jemleýär. Indi CSF gorag diwaryny hiç hili päsgelçiliksiz gurup we sazlap bilersiňiz diýip umyt edýäris.