حال که قسمت قبلی را مطالعه کردید و درک کاملی از CSF به دست آوردید، نوبت به آموزش نصب و کانفیگ CSF میرسد. این کار بسیار ساده است. اما شاید آموزش تک تک گزینه های تنظیمی که درون سند پیکربندی CSF قرار گرفتند، کاری زمان بر باشد. هر چند که با مطالعه خطوط راهنما درون این سند، به راحتی می توان فهمید که هر گزینه چه کاری را انجام میدهد. پس با قسمت ۹۳ همراه شما هستیم.
قبل از شروع به آموزش نصب CSF باز هم بد نیست که به این موضوع اشاره ای داشته باشم که؛ نصب و پیکربندی فایروال روی سرور لینوکس قبل از اینکه به سراغ تنظیمات سرویس های کاربردی برویم، از اهمیت زیادی برخوردار است. به این دلیل که در تمامی این سرویس ها درگاه یا Port ای باید باز باشد تا سرویس مربوطه بتواند کار خود را به درستی انجام دهد و ما این باز کردنِ درگاه را با فایروال که در اینجا CSF است انجام می دهیم. برای انجام این کار حتماً دسترسی باید از نوع ریشه یا root باشد.
نصب فایروال CSF
csf با perl نوشته شده است. پس در درجۀ اول نیاز است که متعلقات و پیش نیازهای لازم را نصب کنیم. این کار را با دستور yum انجام می دهیم.
yum -y install wget nano perl-libwww-perl.noarch perl-Time-HiRes perl-GDGraph
سپس به مسیر /usr/src رفته و پروندۀ نصبی csf را دانلود می کنیم.
cd /usr/src rm -fv csf.tgz wget https://download.configserver.com/csf.tgz
سند را از حالت فشرده خارج می کنیم و اجرایش می کنیم.
tar -xzf csf.tgz cd csf sh install.sh
سپس چند خط نتیجه به شما نشان داده میشود و عبارت Installation Completed نمایش داده میشود که به معنی اتمام مراحل نصب است.
حالا که کار نصب CSF تمام شد، بررسی می کنیم که آیا تمامی ماژول های iptables برای عملکرد صحیح CSF نصب شدند یا خیر.
perl /usr/local/csf/bin/csftest.pl
تا زمانی که این اسکریپت FATAL errors یا خطای اساسی ندهد، باز هم می توانید مراحل زیر را طی کنید و از CSF استفاده کنید. اما در مواردی که از مجازی سازی مثل OpenVZ استفاده کرده باشید و تنظیمات روی سیستم عامل میزبانی به درستی انجام نشده باشد، ممکن است خطای اساسی به شما بدهد که اول باید آن را برطرف نمایید.
اما اگر نتیجۀ زیر در انتهای خطوط به شما نشان داده شد، به این معنا است که CSF روی سرور جاری به درستی و بدون هیچ مشکلی کار خواهد کرد.
RESULT: csf should function on this server
نصب CSF در این مرحله به اتمام میرسد. اما اگر روی CentOS 7 در حال کار کردن هستید، بهتر است که firewalld را خاموش و غیرفعال کنید.
systemctl stop firewalld systemctl disable firewalld
کانفیگ فایروال CSF
کانفیگ یا پیکربندی فایروال CSF بسیار راحت است و شما فقط باید یاد داشته باشید با یک پرونده کار کنید. پس به مسیر زیر می رویم.
cd /etc/csf/
و با دستور nano سند پیکربندی را باز می کنیم.
nano csf.conf
فایروال CSF در ابتدایی که نصب می شود، در حالت آزمون (TESTING) قرار می گیرد. به این معنی که هر تغییری که شما در پیکربندی این فایروال ایجاد می کنید، معمولاً پس از مدت زمان ۵ دقیقه به حالت اول بر می گردد و این به این خاطر است که اگر تنظیمی را اشتباه انجام داده باشید که دسترسی شما یا کاربران دیگر به سرور قطع گردد، به طور خودکار پس از سپری شدن این مدت زمان همه چیز به حالت اول خود برگردد.
اما اگر به صورت کاربردی خواسته باشید از CSF استفاده کنید، باید حالت آزمون رو غیرفعال کنید. برای این کار در خط ۱۱ سند پیکربندی باید عدد جلوی عبارت TESTING را از ۱ به ۰ تغییر دهید.
TESTING = "0"
پس از الان به بعد هر تغییری که روی CSF بدهید دائمی خواهد بود و خود به خود حذف نمی شود.
CSF به صورت خودکار شماره درگاه ۲۲ را برای سرویس SSH درون فایروال باز می کند. اگر شما شمارۀ این درگاه را تغییر داده باشید، باید به خط ۱۳۹ سند پیکربندی آمده و این درگاه را به انتهای گزینۀ تنظیمیِ TCP_IN اضافه نمایید. همچنین برای TCP_OUT هم باید همین کار را بکنید. چون فایروال برای ورودی ها و خروجی ها به طور جداگانه دستوراتی را اعمال می کند.
اگر CSF و در کنار آن LFD با بالا آمدن سرور به صورت خودکار روشن نشدند، باید این کار را با دستور زیر روی CnetOS 7 انجام دهید.
systemctl start csf systemctl start lfd systemctl enable csf systemctl enable lfd
اسناد پیکربندی CSF
کل پرونده های پیکربندی CSF شامل موارد زیر است که هر کدام کارایی خاص خود را دارند.
- csf.conf – پروندۀ اصلی پیکربندی است که هر دستور با توضیحاتی کامل روشن شده است.
- csf.allow – فهرستی از IP ها که برای فایروال همیشه مجاز شناخته میشوند.
- csf.deny – فهرستی از IP ها که برای فایروال همیشه غیرمجاز شناخته میشوند و مسدود می گردند.
- csf.ignore – فهرستی از IP ها که از آنها صرف نظر می شود و اگر مورد مخربی از آنها کشف شد، مسدود نمی شوند.
- csf.*ignore – فهرستی از پرونده هایی که هر کدام برای صرف نظر کردن توسط فایروال کاربرد دارند. مثلاً کاربر، پردازش و پرونده ها برخی از این موارد هستند.
هر کدام از اسناد بالا ویرایش شوند، نیاز است که CSF راه اندازی مجدد گردد. اگر از خط فرمان برای این کار استفاده کنید، CSF خودش این کار را انجام میدهد. اما در ویرایش های دستی هر پرونده باید دستی Restart نمایید.
دستورات کار با CSF
حالا وقت آن است که با چند تا از دستورات مهم و پر کاربرد CSF که از طریق خط فرمان می توان از آنها استفاده کرد آشنا شویم. دستور اول برای روشن و فعال کردن قواعد دیوار آتش استفاده می شود.
csf -s
برخی از مواقع می خواهیم تمام قواعدی که تعیین کردیم حذف شوند و کلاً همه چیز به حالت اولیه برگردد. اگر از این دستور استفاده کنید، ممکن است حتی دسترسی شما به سرور هم قطع شود. به این دلیل که درگاه های SSH و HTTP هم بسته می شوند. چون به صورت پیش فرض این درگاه ها باز نیستند.
csf -f
قواعد فایروال با دستور زیر بازنشانی مجدد می شوند. یا اصطلاحاً روی فایروال CSF عمل reload را انجام می گیرد.
csf -r
برای مجاز شمردن یک IP و افزودن آن به پروندۀ csf.allow باید از طریق زیر عمل کرد.
csf -a 192.168.1.109
حالا اگر همان IP را خواسته باشیم از csf.allow حذف کنیم این طور باید دستور بزنیم.
csf -ar 192.168.1.109
برای مسدود کردن یک IP و افزودن آن به سند csf.deny
csf -d 192.168.1.109
برای حذف کردن آن از مسدودی های CSF هم دستور زیر
csf -dr 192.168.1.109
اگر خواسته باشید کل مسدودی ها را حذف و تمام IP های مسدود شده در csf.deny را آزاد کنید دستور زیر
csf –df
و برای جستجوی یک IP در بین تمامی قواعد دیوار آتش دستور زیر
csf -g 192.168.1.110
برای اطلاع از کل دستورات CSF قادرید دستور زیر را بزنید و مشخصه ها و توضیحات هر کدام را شاهد باشید.
csf -h
باز و بسته کردن پورت ها در CSF
همانطور که قبلاً هم اشاره شد، هر سرویس با یک شماره درگاهی کار میکند. مثلاً وب سرور درگاه ۸۰ را نیاز دارد. که اگر آپاچی را نصب کرده باشید و بدون اینکه این شماره درگاه را باز کنید، صفحات سایت شما برای بازدید کنندگان مشاهده نخواهد شد.
در سند csf.conf در گروه IPv4 Port Settings گزینه های تنظیمی با عنوان TCP_IN و TCP_OUT وجود دارد که تمامی شماره درگاه هایی که باز هستند در آنجا فهرست شدند. شما می توانید آنها را ویرایش کنید. مثلا با افزودن یک , در انتهای این فهرست قبل از اینکه مقدار دستور با علامت “ بسته شود، و عدد ۸۰ را بعد از آن وارد کنید. حالا سند را ذخیره کنید و یک بار CSF را راه اندازی مجدد کنید.
این بود از نصب و کانفیگ اولیه فایروال CSF که امیدوارم به کار شما بیاید. دقت داشته باشید که همانطور که گفته شد، پیکربندی های پیشرفته ای هم این دیوار آتش دارد که لازم است در آینده همراه ما باشید تا آموزش های حرفه ای این دیوار آتش لینوکس را هم درون سایت وبنولوژی منتشر کنیم.
۰ دیدگاه