Seguridad

Cómo agregar reglas de iptables personalizadas en firewall CSF

Cómo agregar reglas de iptables personalizadas en firewall CSF

CSF (Firewall configServer) es un firewall basado en iptables, proporciona una forma más fácil de implementar iptables normas. A veces necesitamos agregar reglas específicas (e.gramo. Reglas iptables no cubiertas por CSF) para agregar en CSF. Si agregamos estas reglas usando el comando iptables directamente desde el shell, se borrarán en el próximo reinicio de CSF. Después de instalar CSF Firewall en Linux, este artículo lo ayudará a agregar reglas iptables personalizadas en CSF Firewall.

CSF proporciona pre y correo Scripts, donde se ejecuta antes y el post se ejecuta después de aplicar las reglas por el firewall CSF. Por ejemplo, quieres abrir el puerto 3306 (MySQL predeterminado) a IP específica. Puede agregar las siguientes reglas para preir o publicar script

  • CSFPRE.mierda - Para ejecutar comandos externos antes de que CSF configure iptables
  • CSFPOST.mierda - Para ejecutar comandos externos después de que CSF configura iptables

Antes de las reglas de CSF

Crear un archivo/etc/csf/csfpre.SH y agregue las reglas iptables, que desea ejecutar antes de que CSF aplicara las propias reglas.

iptables -i entrada -s 1.2.3.Estado de 4 -p -M -M - -State New -M TCP - -DPort 3306 -J Aceptar
Después de las reglas de CSF

Crear un archivo/etc/csf/csfpost.sh y agregue las reglas iptables, que desea aplicar después de CSF agregue sus propias reglas al firewall.

iptables -i entrada -s 1.2.3.Estado de 4 -p -M -M - -State New -M TCP - -DPort 3306 -J Aceptar
Reiniciar CSF

Para reiniciar CSF, simplemente escriba el comando a continuación y vea los resultados. CSF produce mucha salida, por lo que es posible que no vea una salida completa en un script, así que también agregue más Comando para ver los resultados sabios de la página.

CSF -r | más

Ver debajo de la parte de la salida

... Eliminar la cadena 'LocalOutput' eliminar la cadena de la cadena 'logdropin' la cadena de eliminación 'logropout' en ejecución/etc/csf/csfpre.SH Drop TCP OPT - IN * OUT * 0.0.0.0/0 -> 0.0.0.0/0 TCP DPT: 67 Drop UDP OPT - IN * OUT * 0.0.0.0/0 -> 0.0.0.0/0 UDP DPT: 67 ... Aceptar TCP Opt - In * out !Lo 0.0.0.0/0 -> 8.8.8.8 TCP DPT: 53 LocalOutput All Opt - In * Out !Lo 0.0.0.0/0 -> 0.0.0.0/0 LocalInput todo OPT - en !LO OUT * 0.0.0.0/0 -> 0.0.0.0/0 LocalOutput todos optan en * out !lo ::/0 -> ::/0 localinput todo opción en !LO OUT * ::/0 -> ::/0 Running/etc/csf/csfpost.mierda

Gracias! Para usar este artículo. Haga clic aquí para leer más sobre la configuración de CSF.