CSF (pare-feu configserver) est un pare-feu basé sur iptables qui offre un moyen plus simple d'implémenter les règles iptables. Parfois, nous devons ajouter des règles spécifiques (par exemple, des règles IPtables non couvertes par CSF) pour ajouter CSF. Si nous ajoutons ces règles à l'aide de la commande iptables directement depuis le shell, elles seront supprimées au prochain redémarrage de CSF.
Après avoir installé le pare-feu CSF sur Linux, cet article présentera comment utiliser CSF pour ajouter des règles iptables personnalisées.
CSF fournit des pré- et post-scripts qui s'exécutent avant ou après la définition des règles CSF. Par exemple, si vous souhaitez ouvrir le port 3306 (mysql par défaut) sur une adresse IP spécifique, vous pouvez ajouter les règles suivantes avant ou après le script
csfpre.sh : Exécutez une commande externe avant que csf ne configure iptables
csfpost.sh : Exécuter une commande externe après que csf ait configuré iptables
Avant les règles CSF
Créez un fichier /etc/csf/csfpre.sh et ajoutez des règles iptables , Vous souhaitez appliquer ces règles avant que csf n'applique ses propres règles.
iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT
Après les règles CSF
Créez un fichier /etc/csf/csfpost.sh et ajoutez des règles iptables, espérons ajouter vos propres règles dans csf Ces les règles sont appliquées derrière le pare-feu.
iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT
Redémarrer CSF
Pour redémarrer CSF, entrez simplement la commande ci-dessous et voyez les résultats. CSF produit une grande quantité de sortie, il peut donc ne pas être possible de voir l'intégralité de la sortie dans un seul script, donc davantage de commandes peuvent également être ajoutées pour voir les résultats de la page.
# csf -r | more
Voir certaines parties de la sortie ci-dessous
... ... Deleting chain `LOCALOUTPUT' Deleting chain `LOGDROPIN' Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.shDROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67 DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67 ... ... ... ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53 LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0 LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0 LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0 LOCALINPUT all opt in !lo out * ::/0 -> ::/0Running /etc/csf/csfpost.sh
Cet article est terminé ici Pour d'autres contenus passionnants, vous pouvez faire attention à linux sur PHP chinois. Vidéo du didacticiel du site Web colonne !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!