Instalar Csf Firewall

[hellcoreot 39]

CSF Firewall é um firewall muito popular, baseado no iptables para sistemas GNU/Linux, Nasce-o para integrar-se com o popular cPanel/WHM, porem seu exito foi tao grande que seus desenvolvedores implementaram uma versão genérica que funciona hoje nas distribuições mais populares dos sistemas operacionais GNU/Linux.

Antes de iniciar, se você tem o APF firewall, primeiro devera remove-lo executando o comando:

 

sh /etc/csf/remove_apf_bfd.sh

 

Para instalar o CSF Firewall bastá executar os seguintes comandos:

mkdir /root/temp

cd /root/temp

rm -fv csf.tgz

wget http://www.configserver.com/free/csf.tgz

tar -xzf csf.tgz

cd csf

sh install.generic.sh

 

Por padrão já é configurado as portas que foram detectada durante a instalação, ou seja que estão abertas. Esta configuração fica em modo teste, sendo que as regras do CSF Firewall se auto-apagarão em 5 minutos.

Logo que tenha terminado os procedimentos edit o arquivo csf.conf comando:

nano /etc/csf/csf.conf

 

Troque a variável abaixo:

 

"TESTING = "1"

por

TESTING = "0"

 

Após editar o texto (ctrl + x) S para sim depois enter, agora já esta salvo seu arquivo.

Com isto iremos reiniciar o CSF Firewall e já esta pronto para uso:

csf -r

 

Agora teste para ver se está tudo ok.

perl /etc/csf/csftest.pl

 

 

Notas importantes

 

Comandos

As funções mais poderosas do CSF estão na sua interface de linha de comando, cujas opções mais relevantes são as seguintes:

 

Uso: /usr/sbin/csf [opção] [valor]

 

Opção / Significado

-h, –help / Mostra a ajuda

-l, –status / Lista/Mostra a configuração do iptables

-s, –start / Inicia regras do firewall

-f, –stop / Limpa/Interrompe regras do firewall (Nota: lfd pode reiniciar o csf)

-r, –restart / Recarrega regras do firewall

-q, –startq / Reinicialização rápida (csf reiniciado pelo lfd)

-a, –add ip / Libera um IP e adiciona-o em /etc/csf.allow

-ar, –addrm ip / Remove um IP de /etc/csf.allow e deleta a regra

-d, –deny ip / Bloqueia um IP e adiciona-o em /etc/csf.deny

-dr, –denyrm ip / Desbloqueia um IP e remove-o de /etc/csf.deny

-df, –denyf / Remove e libera todos os IPs em /etc/csf.deny

-g, –grep ip / Procura nas regras do iptables por um IP (incl. CIDR)

-t, –temp / Mostra a lista atual de IPs bloqueados temporariamente e o tempo até o desbloqueio

-tr, –temprm ip / Remove um IP do bloqueio e liberação temporários

-td, –tempdeny ip ttl [-p porta] [-d direção] / Adiciona um IP a lista de de bloqueio temporário. ttl é quanto tempo o bloqueio dura (default:segundos, pode usar um sufixo de h/m/d).

 

Porta opcional. Direção opcional do bloqueio pode ser uma das seguintes:

in, out ou inout (default:in) -ta, –tempallow ip ttl [-p porta] [-d direção] / Adiciona um IP à lista de permissão temporária (default:inout)

 

-tf, –tempf / Limpa todos os IPs da lista de IPs temporários

-c, –check / Verifica se existem atualizações do csf mas não atualiza

-u, –update / Verifica se existem atualizações do csf e atualiza se possível

-uf / Força a atualização do csf

-x, –disable / Desabilita csf e lfd

-e, –enable / Habilita csf e lfd se desabilitados anteriormente

-v, –version / Mostra a versão do csf

 

Essas opções permitem a utilização e configuração rápida do csf, pela linha de comando, cobrindo a maior parte das necessidades diárias da administração de um servidor.

 

O csf utiliza alguns arquivos para configuração:

csf.conf - Arquivo de configuração principal, tem explicações detalhadas sobre as opções.

 

csf.allow - Uma lista de IPs e endereços CIDR que são sempre liberados pelo firewall.

 

csf.deny - Uma lista de IPs e endereços CIDR que são sempre bloqueados pelo firewall.

 

csf.ignore - Uma lista de IPs e endereços CIDR que o lfd deve ignorar e não devem ser bloqueados quando detectados.

 

csf.*ignore - Vários arquivos ignore que listam arquivos, usuários e IPs que devem ser ignorados pelo lfd. Veja cada arquivo para saber seu propósito específico.

 

Todos esses arquivos estão situados em /etc/csf, e toda vez que forem alterados o csf deverá ser reiniciado para carregar as novas configurações.

 

O csf é extremamente versátil, suportando uma variedade muito grande de configurações diferentes. As seguintes opções (todas em /etc/csf/csf.conf) causam (ou resolvem) a maioria dos problemas em ambientes de produção:

 

TCP_IN, TCP_OUT, UDP_IN, UDP_OUT: Essas opções controlam as portas TCP e UDP abertas pelo firewall, divididos por protocolo e entrada ou saída. As portas podem ser abertas individualmente, ou por intervalo.

 

SMTP_BLOCK, SMTP_ALLOWLOCAL: A opção SMTP_BLOCK, bloqueia todo o tráfego de saída na porta 25, exceto para os usuários root, exim e mailman (outras exceções podem ser adicionadas usando as opções SMTP_ALLOWUSER e SMTP_ALLOWGROUP esta é uma opção altamente recomendada, mas que pode atrapalhar o funcionamento de webmails. Para evitar isto, existe a opção SMTP_ALLOWLOCAL que permite as conexões de saída na porta 25 pela interface de loopback.

 

CT_LIMIT e relacionados: O csf tem a funcionalidade de monitoramento de conexões, que verifica se um único IP realizou uma quantidade de conexões maior do que o especificado em CT_LIMIT, durante um intervalo de tempo especificado em CT_INTERVAL. Por padrão, esse bloqueio é temporário, falaremos mais sobre bloqueios temporários mais adiante.

 

LF_TRIGGER e relacionados: O lfd monitora todas as tentativas de login aos serviços e caso um mesmo IP faça uma quantidade de logins falhos maior que LF_TRIGGER, o mesmo será bloqueado. Existem opções que permitem variar esta configuração por serviço, atribuindo se por exemplo, o limite de 10 tentativas para o IMAP e de 5 para o SSH.

 

O csf pode ser configurado ( e em alguns casos é o default) para bloquear IPs apenas temporariamente. Esta funcionalidade é controlada pelas opções LF_TRIGGER_PERM, LF_SSHD_PERM, LF_FTPD_PERM e relacionadas, que estipulam o tempo que irá durar este bloqueio temporário do IP transgressor. Os bloqueios temporários são logados em /var/log/lfd.log, o arquivo de log do LFD. É sempre importante verificar este arquivo em caso de bloqueios “inexplicáveis” acontecendo em seu servidor.

 

Qualquer dúvidas só postar.

Edited August 27, 2012 by hellcoreot

[Beeki 284]

Eu queria testar... porem minha machine está desligada, mas fica ai um rep + pra você por colaborar...

 

Abraço (:

[rDs7008 47]

Gostei, aprovado. Rep +

[Critical 70]

Tutorial aprovado vou mover para seção correta.

 

Atenciosamente, Critical.

[hellcoreot 39]

Obrigado ae pessoal mas essa configuração é a basica se alguem quiser mais avançado só me mandar uma msg.

[Fir3element 185]

daora.. nn manjo mtu de linux mas tem como bloquear uma faixa e ip? ex: 76..x

[Augusto 18]

Com o csf, alem de bloquear faixas de ip, pode bloquear requisições vindas de determinados países!

É um ótimo firewall, e pode ser integrado para ser gerenciado pelo webmin!

[cs007 13]

Ele pode causar algum problema ou cortar conexão? valeu

[Augusto 18]

Se você não souber o que esta fazendo, você pode perder até o acesso a máquina, pois por exemplo, você coloca pra bloquear todas as portas, e acaba esquecendo de liberar uma porta de acesso, por exemplo a 22 (SSH) ou a 3389 (Conexão remota Area de Trabalho)...você acaba de se lascar, pois como não tem acesso físico a máquina, não terá como liberar! É a unica coisa da qual você deve se preocupar inicialmente!

[cs007 13]

Aparentemente parece que quando eu ligo ele meu servidor perde player, mas eu consigo logar normalmente.

 

@EDIT

 

 

Não só aparentemente ele está mesmo restringindo o acesso de alguns... Alguém poderia fazer um video ou algo do género? Pessoas iniciantes em linux como eu devem ter dificuldades para configurar. E Como o amigo ai de cima disse, eu uma vez quando usava windows o firewall fechou a porta 3306 e tive que formatar a maquina hoje em dia tenho maior medo de por um firewall. valeu

 

@EDIT2

 

Parece que não liberei a porta 7171,7172 nas regras do iptable estou certo? se eu estiver erro alguém me corrija. valeu

 

up?

[hellcoreot 39]

cs007, tenho um avançado aki q esta em ums 3 otservs se quiser só mandar msg vem com:

- Proteção TCP (Arquivo: Verifica os pacotes TCP enviados e blockeia quem está enviando muitos)

- Proteção Port (Arquivo: Protege contra pessoas maliciosas que entram em seu servidor)

- Proteção DDOS (Arquivo: Automáticamente bloqueia ips que enviam pacotes DDOS)

- Padrão Bloqueio (Arquivo: Analisa os ips atacantes, descobre um padrão e bloqueia todos)

- Entre outras coisas…

[cs007 13]

Eu consegui da uma configurado no csf que me parece muito bom, desde quando o configurei ainda não tive attacks.

Edited September 15, 2012 by cs007

[milbradt 19]

Apareceu essa msg ake!

 

You need to install the missing perl modules and then install cxs

Edited September 27, 2012 by milbradt

[Lordfire 309]

Opa muito legal essa opção de firewall, sem dúvida é uma proteção que ajuda sempre

Muito bom tópico aliás, bem explicado e completo.

[hellcoreot 39]

milbradt Em que parte do tutorial da esse erro e q sistema operacional vc usou, esse foi testado no Ubuntu 10.04.