CSF Cheat Sheet

CSF là viết tắt của ConfigServer Firewall. Đây là một bộ Firewall mã nguồn mở khá thông dụng trên hệ điều hành Linux. Bài viết này mình sẽ giới thiệu qua một số lệnh cơ bản của bộ Firewall này.

1. Một số lệnh CSF thông dụng

Đây là bảng mô tả các lệnh cơ bản và thông dụng của CSF. Ở đây mình sẽ sử dụng IP 1.1.1.1 làm ví dụ.

Command Mô tả Ví dụ
csf -e Bật CSF
csf -x Tắt CSF
csf -s Khởi động các CSF rules
csf -f Xoá toàn bộ các CSF rules
csf -r Restart CSF
csf -a IP Allow 1 IP bất kỳ (1) csf -a 1.1.1.1
csf -td IP Deny tạm 1 IP bất kỳ (2) csf -td 1.1.1.1
csf -tr IP Xoá 1 IP bất kỳ khỏi rule tạm (3) csf -tr 1.1.1.1
csf -tf Xoá toàn bộ các IP trong rule tạm
csf -d IP Deny 1 IP bất kỳ (4) csf -d 1.1.1.1
csf -dr IP Xoá 1 IP bất kỳ khỏi rule deny csf -d 1.1.1.1
csf -df IP Xoá toàn bộ IP trong rule deny
csf -g IP Tìm kiếm 1 IP bất kỳ trong CSF rules csf -g 1.1.1.1

Notes:

  • (1): IP được allow sẽ được thêm vào file /etc/csf/csf.allow.
  • (2): IP bị deny tạm sẽ được thêm vào file /var/lib/csf/csf.tempban.
  • (3): Rule tạm sẽ bao gồm cả rule allow và rule deny tạm.
  • (4): IP bị deny sẽ được thêm vào file /etc/csf/csf.deny.

2. Thêm IP vào Whitelist

Việc allow IP bằng lệnh csf -a chỉ là tạm thời. Nếu 1 ngày nào đó "xấu trời", vô tình csf -r hay csf -f flush toàn bộ rule mình đã cấu hình thì phải cấu hình lại từ đầu các IP mình đã csf -a lúc trước. Hay là vô tình IP mình bị LFD chặn và ghi đè lên rule csf -a thì việc allow là vô nghĩa.

Vì vậy, CSF có hỗ trợ thêm cho mình 1 tính năng là Whitelist. Whitelist này giúp LFDCSF bỏ qua các IP mình đã cấu hình, sẽ không kiểm tra hay có các hành động đếm số lần truy cập hợp lệ/không hợp lệ, block/allow trên IP này nữa.

Cách sử dụng rất đơn giản, chỉ cần thêm IP mình cần whitelist vào file /etc/csf/csf.ignore.

echo "1.1.1.1" >> /etc/csf/csf.ignore

Sau đó, gõ lệnh csf -r để CSF reconfig và thêm các IP này vào bộ rule whitelist của CSF.

3. Cách chặn toàn bộ IP nhưng allow các IP cần thiết

CSF thật ra không hỗ trợ riêng tính năng này, mà đây là tính năng mà SysAdmin cần phải custom hay "chế" thêm để phù hợp nhu cầu của bản thân.

Bước 1: Đưa các IP cần thiết vào Whitelist và sử dụng csf -a.

Bước này rất quan trọng, vì nếu không đưa các IP cần thiết vào Whitelist thì khi áp dụng rule "chặn tất cả" thì rule này sẽ ghi đè toàn bộ các rule còn lại. Lúc này, bạn sẽ không thể connect hay SSH đến Linux được nữa.

Bước 2: Chặn toàn bộ truy cập đến Linux

Gõ lệnh sau để chặn toàn bộ truy cập đến Linux.

csf -d 0.0.0.0/0

Leave a Reply

Your email address will not be published. Required fields are marked *