CSF(ConfigServerファイアウォール) iptablesベースのファイアウォールであり、 iptablesを実装する簡単な方法を提供します ルール。 CSFに追加するために、特定のルール(CSFでカバーされていないiptablesルールなど)を追加する必要がある場合があります。シェルから直接iptablesコマンドを使用してこれらのルールを追加すると、次回のCSFの再起動時にルールが消去されます。 LinuxにCSFファイアウォールをインストールした後、この記事はCSFファイアウォールにカスタムiptablesルールを追加するのに役立ちます。
CSFはプレを提供します および投稿 スクリプト。CSFファイアウォールによってルールを適用する前にpreが実行され、postが実行されます。たとえば、ポート 3306(デフォルトのMySQL)を開きたいとします。 特定のIPに。スクリプトの前後に次のルールを追加できます
- csfpre.sh – csfがiptablesを構成する前に外部コマンドを実行するには
- csfpost.sh – csfがiptablesを構成した後に外部コマンドを実行するには
CSF規則の前
ファイルを作成します
iptables -I INPUT -s1.2.3.4 -p tcp -m state --state NEW -m tcp --dport3306 -j ACCEPT
CSF規則後
ファイルを作成します
iptables -I INPUT -s1.2.3.4 -p tcp -m state --state NEW -m tcp --dport3306 -j ACCEPT
CSFを再起動
CSFを再起動するには、以下のコマンドを入力して結果を確認します。 CSFは大量の出力を生成するため、1つのスクリプトで出力全体が表示されない場合があるため、詳細も追加してください。 ページごとの結果を表示するコマンド。
csf -r | more
以下の出力のいくつかの部分を参照してください
... ... Deleting chain `LOCALOUTPUT' Deleting chain `LOGDROPIN' Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.sh DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67 DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67 ... ... ... ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53 LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0 LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0 LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0 LOCALINPUT all opt in !lo out * ::/0 -> ::/0Running /etc/csf/csfpost.sh
ありがとうございました!この記事を使用してください。 CSF構成の詳細については、ここをクリックしてください。