Configurar el cortafuegos CSF para IPTables

Los cortafuegos, que suelen ser infrautilizados por los usuarios domésticos, pero son probablemente uno de los aspectos más importantes de la seguridad de su máquina; siempre.

Los usuarios de Windows tienen un ENORME conjunto de opciones frente a ellos, pero GNU/Linux no es tan flexible en cuanto a darte mil y una opciones.

Afortunadamente, hay un poderoso firewall IPTables integrado en la mayoría de los sistemas. Sin embargo, IPTables puede ser un desafío para las personas para configurar y aprender a usar, afortunadamente existen interfaces y otras herramientas que pueden hacer que sea mucho más fácil configurar un firewall muy poderoso para el usuario final.

CSF, o ConfigServer and Firewall, es una de esas interfaces de IPTables, que en sí misma es un poder absoluto, mientras mantiene una configuración mucho más simple.

MUCHAS distribuciones vienen con un firewall con una GUI incluida en el sistema, pero sorprendentemente este no es el caso, ya sea si está configurando un firewall en un sistema de texto como un VPS, o simplemente elige abandonar el entorno gráfico por completo; eres tu.

Para hacer esto, configuré CSF en uno de mis VPS a través de un entorno de texto a través de SSH, por lo que es imperativo que tenga algunos conocimientos básicos y comprenda cómo usar un entorno de terminal en su sistema si desea seguir los pasos exactos. tomaré

NotaR: Puede hacer la gran mayoría de esto, si no todo, con un entorno gráfico, pero personalmente preferiría hacerlo a través de la línea de comandos porque creo que hacer cosas simples como extraer, copiar, editar texto es mucho más rápido, etc. . a través de la terminal; pero la elección es finalmente suya. Solo sepa que este tutorial es puramente textual.

Índice

    instalación de LCR

    Página de inicio del LCR

    El primer paso es descargar el archivo tar del sitio web de CSF https://configserver.com/cp/csf.html

    Lo primero que debe hacer es ir a cualquier carpeta donde vaya a descargar CSF con derechos de root.

    Luego descargue el archivo tar

    • wget https://download.configserver.com/csf.tgz

    Y luego necesitamos recuperar el archivo tar

    Ir al nuevo directorio

    Y ejecuta el script de instalación.

    A continuación, debemos verificar si todas las IPTables necesarias están instaladas en nuestro sistema. Es posible que algunos de ellos no estén instalados, pero hasta que se emita el siguiente script -Error fatal-, puede continuar.

    • perl /usr/local/csf/bin/csftest.pl

    Con suerte, debería recibir el siguiente mensaje: "RESULTADO: csf debería estar ejecutándose en este servidor".

    En caso de que obtenga errores fatales, probablemente significa que las IPTables no están instaladas o no se ejecutan/arrancan en el kernel; consulte la documentación / foros / resultados del motor de búsqueda para instalar o ejecutar IPTables para su distribución.

    Dicho todo esto, ¡CSF ya está listo! Sin embargo, esto aún no es -DOUSE, por lo que debemos configurarlo.

    Para hacer esto, solo necesitamos editar un archivo, aunque sea largo, está bastante bien comentado y documentado, y es relativamente simple si tiene algún conocimiento sobre redes o cómo Internet y su sistema funcionan juntos. Para aquellos de ustedes que no tienen idea, por ejemplo, qué es un puerto, puede ser un poco por encima de su cabeza, y les recomiendo leer algunos artículos sobre el tema antes de profundizar en él.

    Configuración de LCR

    Comencemos abriendo el archivo de configuración CSF en su editor de texto favorito, yo personalmente uso Nano para cosas similares.

    Lo primero que verá es lo siguiente, ¡y es absolutamente esencial que no juegue con esta configuración hasta que hayamos terminado por completo!

    ########################################### ## # ########################

    # SECCIÓN: Configuración inicial

    ########################################### ## # ########################

    # Indicador de prueba: incluye un trabajo CRON que borra las iptables en el caso

    # problemas de configuración al ejecutar csf. Esto debe estar encendido mientras

    #asegúrese de que el cortafuegos esté funcionando, es decir, si bloquea

    # servidor! Luego, asegúrese de establecerlo en 0 y reinicie csf si está seguro

    # todo bien. Terminar csf elimina la cadena de / etc / crontab

    #

    # lfd no se inicia cuando está habilitado

    Prueba = "1"

    Básicamente, mantener esto habilitado (1 = activado 0 = desactivado) garantiza que no se bloqueará el sistema al configurar incorrectamente el firewall. Una vez que te asegures de que todo funciona como debería, puedes apagarlo.

    Aquí hay algunas configuraciones relacionadas con el registro del sistema, le recomiendo que simplemente se desplace por ellas, ya que están configuradas normalmente para la mayoría de los casos predeterminados, y desplácese hasta que vea:

    # SECCIÓN: Configuración del puerto IPv4

    El CSF por defecto estará al tanto de todos los puertos actualmente en uso y se configurará en consecuencia. Por ejemplo, en este VPS alojo una serie de servicios, desde servidores VoIP hasta servidores de juegos para varios de los clientes de mi clan de juegos, y CSF lo descubrió por mí.

    # Permitir puertos de entrada TCP

    TCP_IN = "10011,20,21,22,25,53,25639,80,110,143,443,465,587,993,995,9987,8080,8181"

    # Permitir puertos de salida TCP

    TCP_OUT = "25639,10011,20,21,22,25,53,80,110,113,443,587,993,995,8080,8081,9987"

    # Habilitar puertos de entrada UDP

    UDP_IN = "20,21,25639,10011,53,9987"

    # Permitir puertos de salida UDP

    # Para permitir el rastreo de salida, agregue 33434: 33523 a esta lista

    UDP_OUT = "20,21,53,25639,113,10011,9987,123"

    Como puede ver, el cortafuegos ya proporciona varios puertos TCP y UDP. Es posible que desee volver a verificar todos los juegos, servidores o servicios que ejecuta para qué puertos usan, y asegurarse de que todos esos puertos se enumeran en consecuencia.

    Si no está seguro de qué puertos necesita abrir, puede verificar con los siguientes comandos:

    • netstat
    • netstat - escuchar
    • netstat-lntu

    Y busca cosas como

    • tcp 0 0 0.0.0.0:8081 0.0.0.0:* ESCUCHAR

    Este ejemplo está escuchando en el puerto 8081, por lo que necesito abrir el puerto 8081.

    Agregaré algunos enlaces al final de este artículo para centrarme en esto con más detalle para aquellos que lo necesitan.

    Una vez que haya configurado todos los puertos IPv4, querrá asegurarse de que IPv6 también se cuide cuando lo use en Yout, de la misma manera.

    Después de eso, teóricamente puede simplemente ejecutar CSF y estar listo, sin embargo, recomiendo leer el resto del archivo de configuración y modificar lo que considere necesario; ESPECIALMENTE si lo configura en cualquier entorno de servidor. CSF tiene algunas opciones de protección DDoS bastante extrañas. Utilicé CSF en mis otros servidores e intenté con todas mis fuerzas presionarlos para que probaran, así que CSF ​​me dejó. Aún así, ciertamente no es un ganar-ganar, pero es sólido, eso es seguro.

    Iniciar LCR

    Una vez que todo esté dicho y hecho, queremos verificar el CSF para asegurarnos de que todo funcione correctamente.

    Para hacer esto, ejecute CSJ

    Debería ver un montón de texto desplazándose por la pantalla y un mensaje que suena como:

    • csf y lfd fueron incluidos

    * ADVERTENCIA * MODO DE PRUEBA ACTIVADO - NO OLVIDES DESACTIVARLO EN LA CONFIGURACIÓN

    El cortafuegos se está ejecutando actualmente. Ahora está intentando conectar sus servicios habituales, ejecutar sus juegos y hacer todo lo que normalmente hace.

    Si por el momento no tienes problemas (¡lo que no debería haber sido el caso si has seguido correctamente los comentarios en el archivo de configuración!), puedes desactivar el modo de prueba.

    PRUEBA = "1" se convierte en PRUEBA = "0"

    Luego

    para reiniciar LCR.

    ¡Ya terminaste!

    Siempre que necesite agregar puertos, simplemente puede volver a abrir el archivo de configuración de CSF, agregar números de puerto y luego reiniciar csf usando

    Si alguna vez necesita detener el CSF, use

    ¡Su sistema ahora está protegido por un firewall!

    Se pueden encontrar más recursos e información en:

    • https://configserver.com/cp/csf.html
    • https://forum.configserver.com/

    Ahora tu: ¿Utiliza el cortafuegos integrado en su sistema?

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir