Comment ajouter des règles iptables personnalisées dans le pare-feu CSF

CSF (pare-feu de configuration) est un pare-feu basé sur les iptables, offre un moyen plus facile de mettre en œuvre iptables règles. Parfois, nous devons ajouter des règles spécifiques (e.g. Règles iptables non couvertes par le CSF) à ajouter en CSF. Si nous ajoutons ces règles en utilisant la commande iptables directement à partir du shell, elles seront effacées sur le prochain redémarrage du CSF. Après avoir installé le pare-feu CSF sur Linux, cet article vous aidera à ajouter des règles iptables personnalisées dans le pare-feu CSF.

CSF fournit pré et poste scripts, où pré est exécuté avant et la publication est exécutée après avoir appliqué les règles par le pare-feu CSF. Par exemple, vous souhaitez ouvrir le port 3306 (MySQL par défaut) à IP spécifique. Vous pouvez ajouter des règles suivantes pour ou publier le script

• csfpre.shot - Pour exécuter les commandes externes avant que CSF ne configure les iptables
• csfpost.shot - Pour exécuter des commandes externes après CSF, configure iptables

Avant les règles du CSF

Créer un fichier / etc / csf / csfpre.sh et ajouter les règles iptables, que vous souhaitez exécuter avant que le CSF n'applique ses propres règles.

iptables -i entrée -s 1.2.3.4 -P TCP -M State - State New -M TCP --DPORT 3306 -J Accepter 

Après les règles du CSF

Créer un fichier / etc / csf / csfPost.sh et ajouter les règles iptables, que vous souhaitez appliquer après le CSF, ajoutez ses propres règles au pare-feu.

iptables -i entrée -s 1.2.3.4 -P TCP -M State - State New -M TCP --DPORT 3306 -J Accepter 

Redémarrer le CSF

Pour redémarrer le CSF, tapez simplement la commande ci-dessous et regardez les résultats. Le CSF produit beaucoup de sortie afin que vous ne puissiez pas voir une sortie entière dans un seul script, alors ajoutez également plus Commande pour voir les résultats sages de la page.

CSF -R | plus 

Voir ci-dessous les quelques partie de la sortie

… Suppression de la chaîne «LocalOutput» Suppression de la chaîne «Logdropin» Suppression de la chaîne «LogDropout» Running / etc / CSF / CSFPRE.sh drop tcp opt - in * out * 0.0.0.0/0 -> 0.0.0.0/0 TCP DPT: 67 DROP UDP OPT - IN * OUT * 0.0.0.0/0 -> 0.0.0.0/0 UDP DPT: 67… Acceptez TCP Opt - dans * Out !lo 0.0.0.0/0 -> 8.8.8.8 TCP DPT: 53 LocalOutput All Opt - in * Out !lo 0.0.0.0/0 -> 0.0.0.0/0 localinput tout opt ​​- dans !lo out * 0.0.0.0/0 -> 0.0.0.0/0 localOutput tous opt dans * out !lo :: / 0 -> :: / 0 localinput tout opt !lo out * :: / 0 -> :: / 0 en cours d'exécution / etc / csf / csfPost.shot 

Merci! pour utiliser cet article. Cliquez ici pour en savoir plus sur la configuration CSF.