باسلام

این بار میخواهم اموزش کانفیتگ به شما ارائه دهم پس از نصب فایروال درصورتی که فایروال را فعال کنید یا فعال نکنید هیچ تفاوتی ندارد به دلیل این که به صورت پیشفرض تنظیمات خاصی بر روی ان اعمال نشده که پس از پایان مبحث متوجه خواهید شد. باتوجه به این که کانفینگ csf کمی طولانی است سعی میکنم به صورت قسمت قسمت آن را آموزش دهم ابتدا وارد ssh شوید. تمامی فایل ها و تنظیمات csf در شاخه  /etc/csf وجود دارد دستور زیر را اجرا کنید

خودش رو اینجا قرار میده پس ما برای کانفیگ CSF وارد این فولدر میشیم

 


root [~]# cd /etc/csf/

 

وقتی وارد این فولدر میشیم و محتویات فولدر رو لیست میکنیم یه سری فایل میبینیم که هر کدام کاربرد خاصی دارد که در ادامه اموزش در مورد آن ها توضیح خواهم داد  البته ما بیشتر با فایل csf.conf کار داریم چون تمام تنظیمات CSF توی این فایل هست , پس شروع میکنیم به تنظیمات , با دستور nano فایل csf.conf رو باز میکنیم تا بتونیم ادیت کنیم تنظیمات رو اجرا کنیم

 

 

root[/etc/csf]# nano csf.conf

 

از ابتدای صفحه شروع میکنم به توضیح دادن میکنم :

اولین تنظیمی که در csf.conf هست مربوط میشه به حالت فعال بودن یا غیر فعال بودن

 

TESTING = “0″

در این جا ما دو تا حالت داریم یکی صفر و یکی “یک” که اگه یک قرار بدیم مثل این میمونه که ما اصلا CSF رو نصب نکردیم و اگر ۰ قرار بدیم CSF فعال میشه پس ما صفر رو انتخاب میکنیم.”به صورت پیشفرض 1است ” و میریم سراغ مرحله بعدی.

 

این مرحله مربوط میشه به مدت زمان بین چک کردن رول های خود CSF که بر حسب دقیقه هست در واقع یه Cron هست و CSF رو استارت میکنه

 

 

TESTING_INTERVAL = “1″

و میتونه بین ۱ تا ۵ دقیقه باشه توصیه میشه روی ۱ قرار بدید چون هرچه مدت زمان بین چک کردن رول ها کمتر باشه بهتر است.” به صورت پیشفرض 5 است” . خوب بریم سراغ بعدی

 

AUTO_UPDATES = “0″

این همون طور که از اسمش پیدا هست وظیفش اینه که به طورت اتوماتیک خودش رو آپدیت نگه داره که اگه “یک” قرار بدید غیر فعال میشه و خودش رو آپدیت نمیکنه ولی اگه “صفر” قرار بدید CSF به صورت اتوماتیک خودش رو آپدیت میکنه پس بهترین گزینه برای این کانفیگ ست کردن صفر هست چون ممکنه باگی توی CSF پیدا بشه و شما متوجه نشید برا همین ۰ انتخاب میکنیم . “به صورت پیشفرض 1 است ”

 

خوب میریم سراغ قسمت  بعدی که


ETH_DEVICE = “eth0,eth1″

CSF به صورت اتوماتیک بر روی تمام کارت شبکه های سرور شما رول ها رو اعمال میکنه پس اگه خالی گذاشتید تمام کارت های شبکه شما پشت فایروال قرار میگیره ولی بعضی وقت ها ممکنه تعداد کارت های شبکه سرور شما چند تا باشه که شما میخواید فقط تعدادی از اون ها پشت CSF باشه برا همین توی این کانفیگ اون ها رو مشخص میکنیم و با علامت “,” از هم دیگه جداشون میکنیم .”پیشنهاد میشه به این قسمت کاری نداشته باشید ”

خوب میریم سراغ کانفیگ بعدی که :


ETH_DEVICE_SKIP = “eth2,eth3″

این کانفیگ همون طور که از اسمش پیدا هست میتونید اون کارت شبکه هایی که نمیخواید پشت فایروال قرار بگیره رو قرار بدید در واقع آزاد باشه .” به این قسمت نیز پیشنهاد میشه کاری نداشته باشید ”

خوب حالا میخوایم بریم سراغ یه سری تنظیمات که خیلی مهم هست در واقع مدیریت پورت های سرور هست پس مواظب باشید دارید چه پورتی رو باز میزارید و چه پورتی رو میبندید ” درصورتی که در مورد پورت ها اطلاعاتی ندارید به این قسمت هم کاری نداشته باشید به صورت پیشفرش قرار دهید ”

 


TCP_IN = “20,25,53,80,110,465″

همون طور که از اسمش پیدا هست پورت هایی رو میتونید اینجا باز کنید که از بیرون از سرور به سرور دسترسی داشته باشند در واقع پورت هایی که اجازه ورود به سرور رو دارند شما اگه نمیدونید چه پورتی برای چه کاری هست بهتر هست به تاپیک معرفی پورت ها یه سری بزنید و و ببینید چه پورتی برای چه کاری هست اینجا دیگه بستگی به شما داره که چه سرویس هایی روی سرور خودتون دارید و از چه پورت هایی دارید استفاده میکنید.” در مورد این قسمت هم طبق مرحله قبلی به ان کاری نداشته باشید  “.

قسمت بعدی مربوط میشه به :

 


TCP_OUT = “20,21,22,25,37,43,53,80,110″

این کانفیگ هم مربوط میشه به پورت هایی که از سرور به بیرون باز باشد در واقع پورت هایی که از توی سرور به بیرون از سرور باز باشه خوب حالا این ها مربوط میشه به TCP پورت که با UDP تفاوت داره اشتباهی نگیرید.” در مورد این قسمت هم طبق مرحله قبلی به ان کاری نداشته باشید  “.

حالا میریم سراغ پورت های UDP

 

که UDP_IN پورت های UDP از بیرون به داخل رو باز میکنه .

 

 


UDP_IN = “53″

در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواید باز باشه

 


UDP_OUT = “20,21,53,113,123,873,6277″

درمورد پورت ها فعلا تنظیمات خاصی اعمال نکنید در پست های آینده به صورت کامل در این مورد توضیح خواهم داد

 

وقتی پورت ها کانفیگ کردیم میریم سراغ پروتکول ICMP که این هم بستگی به افراد داره بعضی وقت ها افراد دوست دارند باز باشه این رو فعال می کنند بعضی ها هم نه و میبندند ولی در صورت باز بودن میتونند یه سری حملات روی سرور داشته باشند راستش اگه در سطح سرور بسته هم بشه و حمله فوی باشه فایده ایی نداره ولی اگه بسته باشه “بهتر هست. به صورت پیشفرض 1 است “.

پس در کانفیگ زیر که ICMP رو از بیرون به داخل کانفیک میکنه :

 

 

ICMP_IN = “0″

اگر عدد “یک” رو بزاریم ICMP باز است و میتونند پینگ کنند و شما Rate آین هم معلوم میکنید ولی اگه ۰ باشه که کلا بسته میشه برای تنظیم Rate اون هم کانفیگ زیر رو ادیت میکنیم عموما ۱ در ثانیه ست میکنند

 

ICMP_IN_RATE = “1/s”

شاید شما دوست داشتید ۲ یا … بیشتر بزارید

حالا میریم سراغ باز یا بستم ICMP از داخل سرور به بیرون که باز بزارید کاریش نداشته باشید چون سرویس های شما قطعا نیاز داره

 

ICMP_OUT = “1″ICMP_OUT_RATE = “0″

اگر دقت کرده باشید من ICMP_OUT_RATE رو عدد ۰ گذاشتم به معنی بی نهایت هست یا نا محدود پس از اعمال تغییرات فوق یکبار csf را ریستار کنید از طریق دستور زیر .

 

service csf restart

موارد دیگر کانفینگ csf را در اموزش های بعدی توضیح خواهم داد امیداورم این اموزش مفید واقع شده باشد