Jump to content
×
×
  • Create New...

Instalar Csf Firewall


Recommended Posts

csf_large.png

CSF Firewall é um firewall muito popular, baseado no iptables para sistemas GNU/Linux, Nasce-o para integrar-se com o popular cPanel/WHM, porem seu exito foi tao grande que seus desenvolvedores implementaram uma versão genérica que funciona hoje nas distribuições mais populares dos sistemas operacionais GNU/Linux.

Antes de iniciar, se você tem o APF firewall, primeiro devera remove-lo executando o comando:

 

sh /etc/csf/remove_apf_bfd.sh

 

Para instalar o CSF Firewall bastá executar os seguintes comandos:

mkdir /root/temp



cd /root/temp



rm -fv csf.tgz



wget http://www.configserver.com/free/csf.tgz



tar -xzf csf.tgz



cd csf



sh install.generic.sh

 

Por padrão já é configurado as portas que foram detectada durante a instalação, ou seja que estão abertas. Esta configuração fica em modo teste, sendo que as regras do CSF Firewall se auto-apagarão em 5 minutos.

Logo que tenha terminado os procedimentos edit o arquivo csf.conf comando:

nano /etc/csf/csf.conf

 

Troque a variável abaixo:

 

"TESTING = "1"

por

TESTING = "0"

 

Após editar o texto (ctrl + x) S para sim depois enter, agora já esta salvo seu arquivo.



Com isto iremos reiniciar o CSF Firewall e já esta pronto para uso:

csf -r

 

Agora teste para ver se está tudo ok.


perl /etc/csf/csftest.pl

 

 

Notas importantes

 

Comandos

As funções mais poderosas do CSF estão na sua interface de linha de comando, cujas opções mais relevantes são as seguintes:

 

Uso: /usr/sbin/csf [opção] [valor]

 

Opção / Significado

-h, –help / Mostra a ajuda

-l, –status / Lista/Mostra a configuração do iptables

-s, –start / Inicia regras do firewall

-f, –stop / Limpa/Interrompe regras do firewall (Nota: lfd pode reiniciar o csf)

-r, –restart / Recarrega regras do firewall

-q, –startq / Reinicialização rápida (csf reiniciado pelo lfd)

-a, –add ip / Libera um IP e adiciona-o em /etc/csf.allow

-ar, –addrm ip / Remove um IP de /etc/csf.allow e deleta a regra

-d, –deny ip / Bloqueia um IP e adiciona-o em /etc/csf.deny

-dr, –denyrm ip / Desbloqueia um IP e remove-o de /etc/csf.deny

-df, –denyf / Remove e libera todos os IPs em /etc/csf.deny

-g, –grep ip / Procura nas regras do iptables por um IP (incl. CIDR)

-t, –temp / Mostra a lista atual de IPs bloqueados temporariamente e o tempo até o desbloqueio

-tr, –temprm ip / Remove um IP do bloqueio e liberação temporários

-td, –tempdeny ip ttl [-p porta] [-d direção] / Adiciona um IP a lista de de bloqueio temporário. ttl é quanto tempo o bloqueio dura (default:segundos, pode usar um sufixo de h/m/d).

 

Porta opcional. Direção opcional do bloqueio pode ser uma das seguintes:

in, out ou inout (default:in) -ta, –tempallow ip ttl [-p porta] [-d direção] / Adiciona um IP à lista de permissão temporária (default:inout)

 

-tf, –tempf / Limpa todos os IPs da lista de IPs temporários

-c, –check / Verifica se existem atualizações do csf mas não atualiza

-u, –update / Verifica se existem atualizações do csf e atualiza se possível

-uf / Força a atualização do csf

-x, –disable / Desabilita csf e lfd

-e, –enable / Habilita csf e lfd se desabilitados anteriormente

-v, –version / Mostra a versão do csf

 

Essas opções permitem a utilização e configuração rápida do csf, pela linha de comando, cobrindo a maior parte das necessidades diárias da administração de um servidor.

 

O csf utiliza alguns arquivos para configuração:

csf.conf - Arquivo de configuração principal, tem explicações detalhadas sobre as opções.

 

csf.allow - Uma lista de IPs e endereços CIDR que são sempre liberados pelo firewall.

 

csf.deny - Uma lista de IPs e endereços CIDR que são sempre bloqueados pelo firewall.

 

csf.ignore - Uma lista de IPs e endereços CIDR que o lfd deve ignorar e não devem ser bloqueados quando detectados.

 

csf.*ignore - Vários arquivos ignore que listam arquivos, usuários e IPs que devem ser ignorados pelo lfd. Veja cada arquivo para saber seu propósito específico.

 

Todos esses arquivos estão situados em /etc/csf, e toda vez que forem alterados o csf deverá ser reiniciado para carregar as novas configurações.

 

O csf é extremamente versátil, suportando uma variedade muito grande de configurações diferentes. As seguintes opções (todas em /etc/csf/csf.conf) causam (ou resolvem) a maioria dos problemas em ambientes de produção:

 

TCP_IN, TCP_OUT, UDP_IN, UDP_OUT: Essas opções controlam as portas TCP e UDP abertas pelo firewall, divididos por protocolo e entrada ou saída. As portas podem ser abertas individualmente, ou por intervalo.

 

SMTP_BLOCK, SMTP_ALLOWLOCAL: A opção SMTP_BLOCK, bloqueia todo o tráfego de saída na porta 25, exceto para os usuários root, exim e mailman (outras exceções podem ser adicionadas usando as opções SMTP_ALLOWUSER e SMTP_ALLOWGROUP esta é uma opção altamente recomendada, mas que pode atrapalhar o funcionamento de webmails. Para evitar isto, existe a opção SMTP_ALLOWLOCAL que permite as conexões de saída na porta 25 pela interface de loopback.

 

CT_LIMIT e relacionados: O csf tem a funcionalidade de monitoramento de conexões, que verifica se um único IP realizou uma quantidade de conexões maior do que o especificado em CT_LIMIT, durante um intervalo de tempo especificado em CT_INTERVAL. Por padrão, esse bloqueio é temporário, falaremos mais sobre bloqueios temporários mais adiante.

 

LF_TRIGGER e relacionados: O lfd monitora todas as tentativas de login aos serviços e caso um mesmo IP faça uma quantidade de logins falhos maior que LF_TRIGGER, o mesmo será bloqueado. Existem opções que permitem variar esta configuração por serviço, atribuindo se por exemplo, o limite de 10 tentativas para o IMAP e de 5 para o SSH.

 

O csf pode ser configurado ( e em alguns casos é o default) para bloquear IPs apenas temporariamente. Esta funcionalidade é controlada pelas opções LF_TRIGGER_PERM, LF_SSHD_PERM, LF_FTPD_PERM e relacionadas, que estipulam o tempo que irá durar este bloqueio temporário do IP transgressor. Os bloqueios temporários são logados em /var/log/lfd.log, o arquivo de log do LFD. É sempre importante verificar este arquivo em caso de bloqueios “inexplicáveis” acontecendo em seu servidor.

 



Qualquer dúvidas só postar.

Edited by hellcoreot
Link to post
Share on other sites

Se você não souber o que esta fazendo, você pode perder até o acesso a máquina, pois por exemplo, você coloca pra bloquear todas as portas, e acaba esquecendo de liberar uma porta de acesso, por exemplo a 22 (SSH) ou a 3389 (Conexão remota Area de Trabalho)...você acaba de se lascar, pois como não tem acesso físico a máquina, não terá como liberar! É a unica coisa da qual você deve se preocupar inicialmente!

Link to post
Share on other sites

Aparentemente parece que quando eu ligo ele meu servidor perde player, mas eu consigo logar normalmente.

 

@EDIT

 

 

Não só aparentemente ele está mesmo restringindo o acesso de alguns... Alguém poderia fazer um video ou algo do género? Pessoas iniciantes em linux como eu devem ter dificuldades para configurar. E Como o amigo ai de cima disse, eu uma vez quando usava windows o firewall fechou a porta 3306 e tive que formatar a maquina hoje em dia tenho maior medo de por um firewall. valeu

 

@EDIT2

 

Parece que não liberei a porta 7171,7172 nas regras do iptable estou certo? se eu estiver erro alguém me corrija. valeu

 

up?

Link to post
Share on other sites

cs007, tenho um avançado aki q esta em ums 3 otservs se quiser só mandar msg vem com:

- Proteção TCP (Arquivo: Verifica os pacotes TCP enviados e blockeia quem está enviando muitos)

- Proteção Port (Arquivo: Protege contra pessoas maliciosas que entram em seu servidor)

- Proteção DDOS (Arquivo: Automáticamente bloqueia ips que enviam pacotes DDOS)

- Padrão Bloqueio (Arquivo: Analisa os ips atacantes, descobre um padrão e bloqueia todos)

- Entre outras coisas…

Link to post
Share on other sites
  • 2 weeks later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


    Administrador |  Diretor |  Coordenador |  Moderador |  Suporter |  Estagiário |  Herói
  • Similar Content

    • By Marcos VMA
      Boa tarde xTibianos, vim pedir uma ajudinha a vocês.. To com um servidor que ele só abre em Linux e hoje compilei (SourceServer) ele no meu Windows e gerou o .exe mas ele pede varias dll e tambem "(testei com umas dll de um servidor)" que quando abro ele , ele processa mas a janela da Distro não aparece ( so fica registrada no Gerenciador de Tarefas ) quem puder me ajudar agradeceria muito.
    • By mikkas
      Estou tentando compilar um TFS 0.4 REV 3777 em Debian mas sem sucesso. Sou um utilizador intermediário de *nix mas não consigo entender agora o que se passa.
      Podem dar uma olhada?
       
      O comando final "sudo sh build.sh" apresenta o seguinte erro:
      /usr/bin/ld: databasesqlite.o: in function `__gnu_cxx::__normal_iterator<char const*, std::__cxx11::basic_string<char, std::char_traits<char>, std::allocator<char> > > boost::re_detail::re_is_set_member<__gnu_cxx::__normal_iterator<char const*, std::__cxx11::basic_string<char, std::char_traits<char>, std::allocator<char> > >, char, boost::regex_traits<char, boost::cpp_regex_traits<char> >, unsigned int>(__gnu_cxx::__normal_iterator<char const*, std::__cxx11::basic_string<char, std::char_traits<char>, std::allocator<char> > >, __gnu_cxx::__normal_iterator<char const*, std::__cxx11::basic_string<char, std::char_traits<char>, std::allocator<char> > >, boost::re_detail::re_set_long<unsigned int> const*, boost::re_detail::regex_data<char, boost::regex_traits<char, boost::cpp_regex_traits<char> > > const&, bool)': databasesqlite.cpp:(.text._ZN5boost9re_detail16re_is_set_memberIN9__gnu_cxx17__normal_iteratorIPKcNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEEEEcNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_SH_SH_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb[_ZN5boost9re_detail16re_is_set_memberIN9__gnu_cxx17__normal_iteratorIPKcNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEEEEcNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_SH_SH_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb]+0x1a8): undefined reference to `boost::re_detail::cpp_regex_traits_implementation<char>::transform[abi:cxx11](char const*, char const*) const' /usr/bin/ld: databasesqlite.cpp:(.text._ZN5boost9re_detail16re_is_set_memberIN9__gnu_cxx17__normal_iteratorIPKcNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEEEEcNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_SH_SH_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb[_ZN5boost9re_detail16re_is_set_memberIN9__gnu_cxx17__normal_iteratorIPKcNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEEEEcNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_SH_SH_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb]+0x2f4): undefined reference to `boost::re_detail::cpp_regex_traits_implementation<char>::transform_primary[abi:cxx11](char const*, char const*) const' /usr/bin/ld: house.o: in function `char const* boost::re_detail::re_is_set_member<char const*, char, boost::regex_traits<char, boost::cpp_regex_traits<char> >, unsigned int>(char const*, char const*, boost::re_detail::re_set_long<unsigned int> const*, boost::re_detail::regex_data<char, boost::regex_traits<char, boost::cpp_regex_traits<char> > > const&, bool)': house.cpp:(.text._ZN5boost9re_detail16re_is_set_memberIPKccNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_S8_S8_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb[_ZN5boost9re_detail16re_is_set_memberIPKccNS_12regex_traitsIcNS_16cpp_regex_traitsIcEEEEjEET_S8_S8_PKNS0_11re_set_longIT2_EERKNS0_10regex_dataIT0_T1_EEb]+0x1a4): undefined reference to `boost::re_detail::cpp_regex_traits_implementation<char>::transform_primary[abi:cxx11](char const*, char const*) const'  
      Bibliotecas utilizadas:
      gcc/g++ version 8.3.0
      libboost 1.67
       
      Alguem consegue perceber o que está a causar este erro?
       
      Obrigado
       
    • By Flask
      Ola, desculpa se eu coloquei o topico no lugar errado. Mas em fim, estou migrando para linux e não sei como faço pra compilar meus arquivos (windowns) para a linux, ja tenho o host, porem nao sei como começar... Agradeço quem me ajudar ❤️ 
       
      tenho todas sources do servidor
       
    • By Theusinho
      Olá pessoal hoje venho trazer para o Fórum um passo a passo de como montar um servidor completo na VPN da Google Cloud.
      1- Criação de Maquina Virtual (Instância)
      2 - Configuração de Rede e Domínio (Endereço de IP Externo, DNS e Firewall)
      Acesse o serviço de REDE VPC e vá até o item Endereços IP Externos.
      Passo 2.1 - Localize a instancia que esta com o Tipo de Endereço como Temporário.
      Passo 2.2 - Siga o Passo a Passo Para Liberação de Portas no Item Firewall
       
      3 -  Apontamento de Domínio e Configuração de DNS
      4 - Configuração Interna do Servidor
      Volte para sua instância (Compute Engine -> Instâncias de VMs)
      4.2 - Liberando acesso SSHD
      4.3 Instalação de pacote Web ( MySQL-SERVER, Apache, PHP, PHPMyadmin)
      4.4 Configurando o PHPMyadmin
      4.5 Compilando uma distro em Debian9
      4.6 Instalando um Website
      5 - Instalação de protocolo HTTPS / Certificado Digital SSL
      Para ligar o servidor utilize o comando:
      Funciona em versões 11+ e 10-
      Se te ajudei deixa um comentário e um +REP
    • By Theusinho
      Vamos lá o Google Cloud é bem mais fácil de liberar portas do que parece!
      Siga o passo a passo abaixo:
      1 - Acessa no seu painel o menu Regras de Fire Wall
       
      2 - Dentro o painel clique em Criar nova Regra de Firewall
       
      3 - Siga o seguinte passo a passo:
      Ps: Crie duas regras idênticas uma de saída e outra de entrada
      4 - Vá até suas instâncias, clique sobre ela e  Clique em Editar
       
      5 - Localize o item Tags de Rede e insira as regras de Firewall criadas 
       
      6 - Salve as alterações
       
       
      Portas de acesso configuradas!
      Te ajudei da um +Rep!  
      Estou a disposição!