رفتن به مطلب
بازگشایی انجمن! ×
GuardIran

آموزش کانفیگ CSF , آموزش کامل فایروال CSF و کار با تنظیمات فایروال Firewall CSF بصورت کامل در سرور های لینوکسی Linux Server Firewall

kingdeface

توسط kingdeface
در فایروال

 اشتراک گذاری

پست های پیشنهاد شده

kingdeface Newbie

kingdeface

ارسال شده در
ارسال شده در

درود

 

 

در این بخش آموزش کامل فایروال CSF , کار با تنظیمات متعدد اونرو برای اعضاء محترم تیم امنیتی گارد ایران قرار میدم و به نوعی می تونم بگم آموزش فایروال CSF سرور لینوکس

 

CSF Firewall  )  رو از 0 تا 100 و گام به گام به شما آموزش میدم .

 

 

از دوستان لطفا هیچکس اسپم  نده تا خللی در ارسال آموزشها صورت نگیره .

 

 

با تشکر

 

P0!s0nC0d3

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر
kingdeface Newbie

kingdeface

ارسال شده در
  • نویسنده
ارسال شده در

درود

 

 

با بخش اول از آموزش فایروال قدرتمند سرور های لینوکس ( Linux Server ) بنام CSF Firewall در خدمتتون هستم .

 

ابتدا شما باید نصب فایروال CSF رو انجام بدین البته ادمین عزیزمون جناب C0d3!Nj3ct!0N آموزش مرحله به مرحله و کامل نصب فایروال CSF رو در اینجا توضیح دادند .

 

در سری آموزشها بنده دستوراتی که باهاشون سرو کار داریم رو داخل کادر قرار میدم تا بدونین در این مرحله دقیقا با چه دستوری و چه گزینه ای سرو کار داریم .
 

بعد از اینکه نصب کردین می بینید که فایروال CSF در شاخه etc/csf  نصب شده و تمام تنظیمات و فایل های خودش رو این آدرس قرار میده پس ما برای کانفیگ CSF وارد این فولدر باید بشیم و

 
وقتی وارد این فولدر میشیم و محتویات فولدر رو لیست میکنیم یه سری فایل میبینیم که هر کدومشون برای تنظیمات خاصی و عمل خاصی رو انجام میده و عجله نکنید به ت تک انشاا.. میرسیم و توسط دستور زیر
 
واردش میشیم :
 
This is the hidden content, please
 
ما با فایل csf.conf کار داریم چون تمام تنظیمات CSF توی این فایل هست پس آماده باشین تا تنظیمات رو باهم شروع کنیم  پس توسط دستور nano فایل csf.conf رو باز میکنیم تا بتونیم تنظیمات رو ویرایش رو کنیم
 
This is the hidden content, please

خوب دوستان الآن دیگه باید کار اصلیمونو شروع کنیم و اولین تنظیمی که در csf.conf هست مربوط میشه به حالت فعال بودن یا غیر فعال بودن

This is the hidden content, please

در این جا ما دو تا حالت داریم یکیش اینه صفر 0 باشه و دیگری هم اینکه یک  باشه1 که اگه یک قرار بدیم مثل اینه که ما اصلا CSF رو نصب نکردیم و اگر 0 قرار بدیم CSF فعال میشه

 

پس ما صفر رو انتخاب میکنیم  تا فعالش کنیم .

 

این بخش  :
 
This is the hidden content, please
مربوط میشه به مدت زمان بین چک کردن رول های خوده CSF که بر حسب دقیقه ( Minutes ) هست در واقع یه Cron هست و CSF رو استارت میکنه و میتونه بین ۱ تا ۵ دقیقه باشه توصیه بنده به شما اینه که
 
روی ۱ قرار بدید چون هرچه مدت زمان بین چک کردن رول ها کمتر باشه بهتره برامون .
 
این بخش :
 
This is the hidden content, please
همون طور که از اسمش هم مشخصه وظیفش اینه که به طورت اتوماتیک خودش رو آپدیت ( Automatic Update ) نگه داره , اگر 1 قرار بدیم غیر فعال میشه و خودش رو آپدیت نمیکنه ولی اگه 0 قرار بدیم CSF
 
به صورت اتوماتیک خودش رو آپدیت میکنه پس به این نتیجه میرسیم که بهترین گزینه برای این کانفیگ ست کردن صفر در این تنظیم هست چون ممکنه باگی توی CSF پیدا بشه و شما متوجه نشید بهمین دلیل انتخاب 
 
0 کار عاقلانه تری هست .
 
نوبت تنظیم بعدی هست و میرسیم به این :
 
This is the hidden content, please

بهتره بدونین که فایروال CSF به صورت اتوماتیک بر روی تمام کارت شبکه های سرور شما رول ها رو اعمال میکنه پس اگه خالی گذاشتید تمام کارت های شبکه شما در پشت فایروال قرار میگیره اما اینو هم مئ نظر داشته باشین

 

بعضی اوقات ممکنه تعداد کارت های شبکه سرور شما بیش از یکی و چند تا باشه که شما میخواید فقط تعدادی از اون ها پشت CSF باشه برا همین توی این کانفیگ اون ها رو مشخص میکنیم و با علامت “,” از هم دیگه جداشون میکنیم .

 

 

 

پایان بخش اول

 

 

 

 

.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر
kingdeface Newbie

kingdeface

ارسال شده در
  • نویسنده
ارسال شده در

بخش دوم از آموزش کامل فایروال CSF  در سرور لینوکس رو شروع می کنیم .

 

 

می رسیم به این بخش :

This is the hidden content, please

این کانفیگ همون طور که از اسمش هم پیدا هست میتونین کارت شبکه هایی که نمیخواین پشت فایروال قرار بگیره رو قرار بدین رو آزاد می کنید .

 

این بخش رو جدی بگیرین چون یکی از مهمترین بخشها در تامین امنیت سرور هست :

This is the hidden content, please

این بخش مربوط میشه به پورت  ( Open Port ) و  پورت هایی رو میتونید اینجا باز کنید که از بیرون سرور به سرور دسترسی داشته باشن .

 

در واقع اینها پورت هایی که اجازه ورود به سرور رو دارند و شما اگه نمیدونین چه پورتی برای چه کاری هست بهتر هست به تاپیک معرفی پورت ها در انجمن گارد ایران سر بزنید و ببینید که

 

چه پورتی برای چه کاری هست و تنظیمات در اینجا دیگه بستگی به شما داره که چه سرویس هایی روی سرور خودتون دارین و از چه پورت هایی دارید استفاده میکنید و مایلین که باز بذاریشنش .

 

 

خوب این بخش چطور :

This is the hidden content, please

این بخش از کانفیگ فایروال هم مربوط میشه به پورت هایی که از سرور به بیرون باز میشن و در واقع پورت هایی که از توی سرور به بیرون از سرور باز باشه خوب حالا این ها مربوط میشه

 

به TCP پورت که با UDP تفاوت دارن و این دو پروتکل رو اشتباه نگیرید .

 

 

حالا اینجا :

This is the hidden content, please

در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواهین باز باشه رو معرفی می کنید .

 

بخش بعدی :

This is the hidden content, please

وقتی پورت ها رو کانفیگ کردیم میریم سراغ پروتکل ICMP که این هم بستگی به افراد و تنظیمات دلخواهشون داره چون بعضی وقت ها افراد دوست دارند باز باشه این رو فعال می کنند

 

بعضی ها هم نه و می بندن ولی در صورت باز بودن میتونند یه سری حملات روی سرور داشته باشند راستش اگه در سطح سرور بسته هم بشه و حمله فوی باشه فایده ایی نداره ولی اگه بسته باشه بهتر هست

 

پس بذارین بسته باشه تا خیالتون راحت تر باشه .

 

حالا این تنظیم :

This is the hidden content, please

خوب دقت کنین که اگر عدد 1 رو بزاریم ICMP باز است و میتونند پینگ Ping کنند و شما Rate این هم مشخص میکنین ولی اگه 0 باشه که کلا بسته میشه برای تنظیم Rate اون هم کانفیگ زیر رو

 

ادیت میکنیم عموما 1 در ثانیه ست میکنن .

This is the hidden content, please

رسیدیم بخش پایان بخش دوم از آموزش کامل کار با فایروال CSF سرور لینوکس

 

 

 

.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر
  • 2 هفته بعد...
kingdeface Newbie

kingdeface

ارسال شده در
  • نویسنده
ارسال شده در
با بخش دیگری از آموزش کانفیگ CSF فایروال سرورهای لینوکس در خدمت شما هستم
 
 
خوب این بخش چه کاری رو انجتم میده :
 
This is the hidden content, please
همون طور که از اسمش پیدا هست در مورد SMTP هست , که این کانفیگ ایمیل هایی ( Email Config ) که غیر از یوزر روت با SMTP میخواد فرستاده بشه ، بلاک میکنه جلوشونو
 
میگیره و در سرور های هاستینگ اصلا توصیه نمیشه چون SMTP تمام یوزر ها رو میبنده اگه سروری دارین که هاستینگ هست گزینه 1 رو انتخاب کنید و اگه سروری دارید که اصلا
 
سیستم میل استفاده نمیشه 0 رو انتخاب کنید .
 
This is the hidden content, please
اگر SMTP_BLOCK فعال کرده باشید این گزینه اجازه میده تنها از روی خود سرور توسط SMTP ایمیل فرستاده بشه یعنی اگه با Localhost فرستاده شد اجازه خروج از سرور رو بده
 
غیر از این چی ؟
 
مثلا اگه از بیرون وصل شدند و خواستند SMTP ایمیل یزندد بلاک کنه .
 
اگر شما گزینه صفر رو انتخاب کنید تنها از روی خود سرور اجازه فرستادن ایمیل با SMTP داده میشه و اگر 1 باشه اصلا غیر فعال میشه .
 
 
می رسیم به این بخش :
This is the hidden content, please
این گزینه مربوط به پورتی هست که شما تنظیم کردین SMTP باهاش کار کنه که بیشتر موارد 25 هست .
 
نوبت به این بخش میرسه :
 
This is the hidden content, please
همون طور که میدونید IPTABLES دو 2 مدل برای دفع پاکت ها داره یکی Drop که پاکت ها از اسمش معلومه ریزش پیدا میکنه و یه مدل دیگه Reject که یه پاکت میفرسه که این پاکت
 
ریجکت شده که توصیه نمیشه  و چون مشکل ساز هست پس بهترین مدل همون Drop هست .
 
این بخش :
 
This is the hidden content, please
این کانفیگ اگه گزینه 0 رو انتخاب کنید لاگ میکنه پاکت هایی که Drop یا Reject شده و اگه 1 رو اتخاب کنید لاگ نمیگیره از پاکت هایی که ه Drop یا Reject شده  و پیشنهاد میشه گزینه 0 رو
 
انتخاب کنید که در صورتی که مشکلی پیش اومد بدونین و دلیلش رو متوجه بشید و حلش کنید .
 
نوبت به این تنظیم میرسه :
 
This is the hidden content, please
این گزینه ای پی هایی IP که پاکت هاشون Drop یا Reject میشه رو بلاک میکنه , میشه گفت یکم خطریه پس بهتره عدد 1 رو انتخاب کنید و ازش بگذرین چون ای پی های معمولی و ساده
 
بعضی وقت ها پاکت هاشون Drop میشه و این ریسک هست . پس نتیجه میگیریم بهتره گزینه 1 است .
 
این بخش :
This is the hidden content, please

این گزینه پورت های خاصی رو که مد نظر دارید لاگ میکنه که با  “,”  پورت ها رو از هم جدا کنید اگه 0 صفر رو انتخاب کنید تمام پورت ها رو لاگ میکنه .

 

 

می رسیم به این بخش :

 

This is the hidden content, please
این گزینه هم پورت هایی که نمی خواین لاگ کنه رو مینویسید که توصیه میشه خالی بگذارین تا همه پورت ها لاگ بشه بهتره براتون .
 
 
و این بخش :
 
This is the hidden content, please
این گزینه هم پاکت هایی که خود IPTABLES تشخیص میده لاگ میکنه که نامشخص هست یعنی پاکت هایی که INVALID هستند .
 
و این  :
This is the hidden content, please

این گزینه هم لاگ کردن SYN Flood Protection رو فعال میکنه .

 

 

 

پایان این بخش از آموزش کانفیگ CSF

 

 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر
  • 1 سال بعد...
clack Newbie

clack

ارسال شده در
ارسال شده در

سلام .

این آموزش تا انجا که من اطلاع دارم پر از اشتباه بود.

البته این اشتباه به دلیل ندونستن شما در باره 0 و 1 بود.

1 = Enable

0 = Disable

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
 اشتراک گذاری
رفتن به فهرست موضوع ها
×
×
  • ایجاد مورد جدید...