Wéi installéiere ech Config Server Firewall (CSF) op Debian/Ubuntu


ConfigServer a Sécherheet Firewall, ofgekierzt als CSF, ass eng Open-Source an fortgeschratt Firewall fir Linux Systemer entwéckelt. Et bitt net nëmmen d'Basisfunktionalitéit vun enger Firewall, awer bitt och eng breet Palette vun Add-on-Features wéi Login/Intrusiounserkennung, Ausbeutungskontrollen, Ping vum Doudesschutz a sou vill méi.

[ Dir kënnt och gär hunn: 10 Nëtzlech Open Source Sécherheets Firewalls fir Linux Systemer ]

Zousätzlech bitt et och UI Integratioun fir ConfigServer offiziell Websäit.

An dësem Guide wäerte mir Iech duerch d'Installatioun an d'Konfiguratioun vun der ConfigServer Security & Firewall (CSF) op Debian an Ubuntu goen.

Schrëtt 1: Installéiert CSF Firewall op Debian an Ubuntu

Als éischt musst Dir e puer Ofhängegkeeten installéieren ier Dir mat der Installatioun vun der CSF Firewall ufänkt. Op Ärem Terminal, update de Package Index:

$ sudo apt update

Als nächst installéiert d'Ofhängegkeeten wéi gewisen:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Mat deem aus dem Wee, kënnt Dir elo op de nächste Schrëtt weidergoen.

Well CSF net an de Standard Debian- an Ubuntu-Repositories abegraff ass, musst Dir se manuell installéieren. Fir weiderzemaachen, luet d'CSF Tarball Datei erof déi all Installatiounsdateien enthält mat dem folgenden wget Kommando.

$ wget http://download.configserver.com/csf.tgz

Dëst lued eng kompriméiert Datei mam Numm csf.tgz erof.

Als nächst, extrahéiert déi kompriméiert Datei.

$ tar -xvzf csf.tgz

Dëst erstellt en Dossier genannt csf.

$ ls -l

Als nächst, navigéiert an den csf-Ordner.

$ cd csf

Installéiert dann d'CSF Firewall andeems Dir de gewise Installatiounsskript leeft.

$ sudo bash install.sh

Wann alles an der Rei ass, sollt Dir d'Ausgab kréien wéi gewisen.

Zu dësem Zäitpunkt gëtt CSF installéiert. Wéi och ëmmer, Dir musst verifizéieren datt déi erfuerderlech iptables gelueden sinn. Fir dëst z'erreechen, fuert de Kommando:

$ sudo perl /usr/local/csf/bin/csftest.pl

Schrëtt 2: CSF Firewall op Debian an Ubuntu konfiguréieren

E puer zousätzlech Konfiguratioun ass néideg. Als nächst musse mir e puer Astellunge änneren fir CSF z'aktivéieren. Also, gitt op d'csf.conf Konfiguratiounsdatei.

$ sudo nano /etc/csf/csf.conf

Ännert d'TESTING Direktiv vun 1 op 0 wéi hei ënnendrënner.

TESTING = "0"

Als nächst setzt d'RESTRICT_SYSLOG Direktiv op 3 fir den rsyslog/syslog Zougang nëmme fir Membere vun der RESTRICT_SYSLOG_GROUP ze beschränken.

RESTRICT_SYSLOG = "3"

Als nächst kënnt Dir TCP an UDP Ports opmaachen andeems Dir d'TCP_IN, TCP_OUT, UDP_IN an UDP_OUT Direktiven lokaliséiert.

Par défaut ginn déi folgend Ports opgemaach.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

D'Chancen sinn datt Dir net all déi Ports opgemaach braucht, a bescht Serverpraktiken verlaangen datt Dir nëmmen d'Ports opmaacht déi Dir benotzt. Mir recommandéieren Iech all onnéideg Ports ze läschen an déi ze verloossen déi vun de Servicer benotzt ginn déi op Ärem System lafen.

Wann Dir fäerdeg sidd d'Ports ze spezifizéieren déi Dir braucht, lued CSF nei wéi gewisen.

$ sudo csf -r

Fir all d'IP-Tabelleregelen ze lëschten, déi um Server definéiert sinn, fuert de Kommando:

$ sudo csf -l

Dir kënnt d'CSF Firewall beim Startup starten an aktivéieren wéi follegt:

$ sudo systemctl start csf
$ sudo systemctl enable csf

Da bestätegt datt d'Firewall wierklech leeft:

$ sudo systemctl status csf

Schrëtt 3: Blockéieren an Erlaabt IP Adressen an CSF Firewall

Ee vun de Schlësselfunktioune vun enger Firewall ass d'Fäegkeet IP Adressen z'erméiglechen oder ze blockéieren aus dem Server Zougang. Mat CSF kënnt Dir d'Whitelist (erlaaben), d'Blacklist (verleegnen) oder ignoréieren IP Adressen andeems Dir déi folgend Konfiguratiounsdateien ännert:

  • csf.allow
  • csf.deny
  • csf.ignore

Fir eng IP Adress ze blockéieren, gitt einfach op d'csf.deny Konfiguratiounsdatei.

$ sudo nano /etc/csf/csf.deny

Da gitt d'IP Adressen un déi Dir wëllt blockéieren. Dir kënnt d'IP Adressen Zeil fir Zeil uginn wéi gewisen:

192.168.100.50
192.168.100.120

Oder Dir kënnt d'CIDR Notatioun benotzen fir e ganze Subnet ze blockéieren.

192.168.100.0/24

Fir eng IP Adress duerch Iptables z'erméiglechen an aus all Filteren oder Blocken auszeschléissen, ännert d'csf.allow Konfiguratiounsdatei.

$ sudo nano /etc/csf/csf.allow

Dir kënnt eng IP Adress pro Zeil oplëschten, oder d'CIDR Adresséierung benotzen wéi virdru bewisen wann Dir IPs blockéiert.

NOTÉIERT: Eng IP Adress gëtt erlaabt och wann et explizit an der csf.deny Configuratiounsdatei definéiert ass. Fir sécherzestellen, datt eng IP Adress blockéiert oder schwaarz ass, gitt sécher datt se net an der csf.allow Datei opgezielt ass.

Zousätzlech bitt CSF Iech d'Fäegkeet fir eng IP Adress aus IPTables oder Filteren auszeschléissen. All IP Adress an der csf.ignore Datei gëtt vun den iptables Filtere befreit. Et kann nëmme blockéiert ginn, wann an der csf.deny Datei uginn.

Fir eng IP Adress vun de Filteren ze befreien, gitt op d'csf.ignore Datei.

$ sudo nano /etc/csf/csf.ignore

Nach eng Kéier, kënnt Dir d'IPs Linn fir Zeil Lëscht oder CIDR Notatioun benotzen.

An dat schléisst eise Guide haut of. Mir hoffen Dir kënnt elo d'CSF Firewall ouni Problem installéieren an konfiguréieren.