Pesquisa de site

Como instalar o Config Server Firewall (CSF) no Debian/Ubuntu

ConfigServer e Security Firewall, abreviado como CSF, é um firewall avançado e de código aberto projetado para sistemas Linux. Ele não apenas fornece a funcionalidade básica de um firewall, mas também oferece uma ampla gama de recursos complementares, como detecção de login/intrusão, verificações de exploração, proteção contra ping de morte e muito mais.

Além disso, também fornece integração de UI para painéis de controle amplamente utilizados, como cPanel, Webmin, Vesta CP, CyberPanel e DirectAdmin. Você pode encontrar uma lista completa de recursos e sistemas operacionais suportados no site oficial do ConfigServer.

Neste guia, orientaremos você na instalação e configuração do ConfigServer Security & Firewall (CSF) no Debian e Ubuntu .

Passo 1: Instale o Firewall CSF no Debian e Ubuntu

Primeiro, você precisa instalar algumas dependências antes de começar a instalar o firewall CSF. No seu terminal, atualize o índice do pacote:

sudo apt update

Em seguida, instale as dependências conforme mostrado:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Com isso resolvido, agora você pode prosseguir para a próxima etapa.

Como o CSF não está incluído nos repositórios padrão Debian e Ubuntu, você precisa instalá-lo manualmente. Para continuar, baixe o arquivo tarball CSF que contém todos os arquivos de instalação usando o seguinte comando wget.

wget http://download.configserver.com/csf.tgz

Isso baixa um arquivo compactado chamado csf.tgz.

Em seguida, extraia o arquivo compactado.

tar -xvzf csf.tgz

Isso cria uma pasta chamada csf.

ls -l

Em seguida, navegue até a pasta csf.

cd csf

Em seguida, instale o Firewall CSF executando o script de instalação mostrado.

sudo bash install.sh

Se tudo correr bem, você deverá obter o resultado conforme mostrado.

Neste ponto, o CSF está instalado. No entanto, você precisa verificar se os iptables necessários estão carregados. Para conseguir isso, execute o comando:

sudo perl /usr/local/csf/bin/csftest.pl

Etapa 2: Configurar o Firewall CSF no Debian e Ubuntu

Algumas configurações adicionais são necessárias. Em seguida, precisamos modificar algumas configurações para ativar o CSF. Então, vá para o arquivo de configuração csf.conf.

sudo nano /etc/csf/csf.conf

Edite a diretiva TESTING de “1” para “0” conforme indicado abaixo.

TESTING = "0"

Em seguida, defina a diretiva RESTRICT_SYSLOG como “3” para restringir o acesso ao rsyslog/syslog apenas aos membros do RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Em seguida, você pode abrir portas TCP e UDP localizando TCP_IN, TCP_OUT, UDP_IN,< Diretivas e UDP_OUT.

Por padrão, as seguintes portas são abertas.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Provavelmente, você não precisa de todas essas portas abertas e as melhores práticas de servidor exigem que você abra apenas as portas que está usando. Recomendamos que você remova todas as portas desnecessárias e deixe aquelas que são utilizadas pelos serviços em execução no seu sistema.

Quando terminar de especificar as portas necessárias, recarregue o CSF conforme mostrado.

sudo csf -r

Para listar todas as regras da tabela IP definidas no servidor, execute o comando:

sudo csf -l

Você pode iniciar e ativar o firewall CSF na inicialização da seguinte maneira:

sudo systemctl start csf
sudo systemctl enable csf

Em seguida, confirme se o firewall está realmente em execução:

sudo systemctl status csf

Etapa 3: Bloqueio e permissão de endereços IP no Firewall CSF

Uma das principais funcionalidades de um firewall é a capacidade de permitir ou bloquear o acesso de endereços IP ao servidor. Com CSF, você pode colocar na lista branca (permitir), na lista negra (negar) ou ignorar endereços IP, modificando os seguintes arquivos de configuração:

  • csf.permitir
  • csf.deny
  • csf.ignore

Bloquear um endereço IP no CSF

Para bloquear um endereço IP, basta acessar o arquivo de configuração csf.deny.

sudo nano /etc/csf/csf.deny

Em seguida, especifique os endereços IP que deseja bloquear. Você pode especificar os endereços IP linha por linha, conforme mostrado:

192.168.100.50
192.168.100.120

Ou você pode usar a notação CIDR para bloquear uma sub-rede inteira.

192.168.100.0/24

Permitir um endereço IP no CSF

Para permitir um endereço IP através do Iptables e excluí-lo de todos os filtros ou blocos, edite o arquivo de configuração csf.allow.

sudo nano /etc/csf/csf.allow

Você pode listar um endereço IP por linha ou usar o endereçamento CIDR conforme demonstrado anteriormente ao bloquear IPs.

NOTA: Um endereço IP será permitido mesmo quando estiver explicitamente definido no arquivo de configuração csf.deny. Para garantir que um endereço IP esteja bloqueado ou na lista negra, certifique-se de que ele não esteja listado no arquivo csf.allow.

Excluir um endereço IP no CSF

Além disso, CSF oferece a capacidade de excluir um endereço IP de tabelas ou filtros IP. Qualquer endereço IP no arquivo csf.ignore estará isento dos filtros iptables. Ele só pode ser bloqueado se especificado no arquivo csf.deny.

Para isentar um endereço IP dos filtros, acesse o arquivo csf.ignore.

sudo nano /etc/csf/csf.ignore

Mais uma vez, você pode listar os IPs linha por linha ou usar a notação CIDR.

Conclusão

E isso encerra nosso guia de hoje. Esperamos que agora você possa instalar e configurar o firewall CSF sem problemas.