CSF, también conocido como "Config Server Firewall", es una de las aplicaciones de firewall más populares y útiles para Linux. Se basa en Iptables y ayuda a proteger su servidor contra inundaciones SYN, escaneo de puertos y ataques de fuerza bruta. CSF supervisa los archivos de registro y, cuando se detectan intentos erróneos desde una IP específica, se bloquean temporalmente. CSF también proporciona una interfaz de usuario web que se puede usar para bloquear y desbloquear direcciones IP remotas desde un navegador web. También se puede integrar con cPanel, DirectAdmin y Webmin.
En este tutorial, explicaremos cómo instalar CSF en Ubuntu 20.04.
Requisitos
• Un Ubuntu 20.04 VPS nuevo en Atlantic.Net Cloud Platform
• Una contraseña raíz configurada en su servidor
Paso 1:crear el servidor en la nube de Atlantic.Net
Primero, inicie sesión en su servidor en la nube de Atlantic.Net. Cree un nuevo servidor, eligiendo Ubuntu 20.04 como sistema operativo con al menos 1 GB de RAM. Conéctese a su servidor en la nube a través de SSH e inicie sesión con las credenciales resaltadas en la parte superior de la página.
Una vez que haya iniciado sesión en su servidor Ubuntu 20.04, ejecute el siguiente comando para actualizar su sistema base con los últimos paquetes disponibles.
apt-get update -y
Paso 2:instalar las dependencias requeridas
Primero, deberá instalar algunas dependencias requeridas para CSF. Puede instalar todas las dependencias con el siguiente comando:
apt-get install sendmail dnsutils unzip git perl iptables libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
Una vez que todas las dependencias estén instaladas, puede proceder a instalar CSF.
Paso 3:instalar CSF
wget http://download.configserver.com/csf.tgz
Una vez descargado, extraiga el archivo descargado con el siguiente comando:
tar -xvzf csf.tgz
A continuación, cambie el directorio al directorio extraído e instale CSF ejecutando el script install.sh:
cd csf bash install.sh
Una vez que la instalación se haya completado con éxito, debería obtener el siguiente resultado:
Installation Completed
Luego, verifique si todos los módulos necesarios de Iptables están instalados con el siguiente comando:
perl /usr/local/csf/bin/csftest.pl
Si todo está bien, debería obtener el siguiente resultado:
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Paso 4:configurar CSF
A continuación, deberá configurar CSF según su estándar de seguridad. Puede configurarlo editando el archivo /etc/csf/csf.conf:
nano /etc/csf/csf.conf
Cambie la siguiente línea según sus requisitos:
TESTING = "0" RESTRICT_SYSLOG = "3" TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" # Allow incoming UDP ports UDP_IN = "20,21,53,80,443" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" # Allow incoming PING. Disabling PING will likely break external uptime # monitoring ICMP_IN = "1"
Guarde y cierre el archivo, luego reinicie el CSF con el siguiente comando:
csf -r
A continuación, ejecute el siguiente comando para enumerar todas las reglas de Iptables:
csf -l
Deberías obtener el siguiente resultado:
iptables mangle table ===================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 46 packets, 3014 bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination iptables raw table ================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 27 packets, 15972 bytes) num pkts bytes target prot opt in out source destination iptables nat table ================== Chain PREROUTING (policy ACCEPT 19 packets, 1410 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination
Paso 5:habilite la interfaz de usuario web de CSF
CSF proporciona una interfaz basada en web para administrar el firewall desde un navegador web. De forma predeterminada, está deshabilitado en el archivo de configuración predeterminado de CSF, por lo que primero deberá habilitarlo.
Edite el archivo de configuración principal de CSF con el siguiente comando:
nano /etc/csf/csf.conf
Cambie las siguientes líneas:
#Enable Web UI UI = "1" #Listening Port UI_PORT = "8080" #Admin username UI_USER = "admin" #Admin user password UI_PASS = "your-password" #Listening Interface UI_IP = ""
Guarde y cierre el archivo cuando haya terminado. Luego, deberá editar el archivo /etc/csf/ui/ui.allow y agregar la IP de su servidor y la IP de la máquina remota desde donde desea acceder a la interfaz de usuario web de CSF.
nano /etc/csf/ui/ui.allow
Agregue la IP de su servidor y la IP de la máquina remota:
your-server-ip remote-machine-ip
Guarde y cierre el archivo, luego reinicie el servicio CSF y LFD para aplicar los cambios:
csf -r service lfd restart
En este punto, CSF se inicia y escucha en el puerto 8080. Puede verificarlo con el siguiente comando:
ss -antpl | grep 8080
You should get the following output:
LISTEN 0 5 0.0.0.0:8080 0.0.0.0:* users:(("lfd UI",pid=34346,fd=4)) Paso 6:acceda a la interfaz web de CSF
Ahora, abra su navegador web y escriba la URL http://your-server-ip:8080. Será redirigido a la página de inicio de sesión de CSF:
Proporcione su nombre de usuario y contraseña de administrador y haga clic en el botón Entrar. Debería ver el panel de CSF en la siguiente pantalla:
Desde aquí, puede administrar su firewall y bloquear y desbloquear cualquier dirección IP fácilmente.
Paso 7:administrar CSF con la línea de comandos
También puede administrar el firewall CSF (por ejemplo, permitir, denegar o eliminar una dirección IP) desde la interfaz de línea de comandos.
Para enumerar todas las reglas de firewall, ejecute el siguiente comando:
csf -l
Para detener CSF, ejecute el siguiente comando:
csf -s
Para permitir una dirección IP específica, ejecute el siguiente comando:
csf -a ip-address
Para denegar una dirección IP, ejecute el siguiente comando:
csf -d ip-address
Para eliminar la dirección IP bloqueada de una regla CSF, ejecute el siguiente comando:
csf -dr ip-address
Para verificar si la dirección IP está bloqueada o no, ejecute el siguiente comando:
csf -g ip-address
Para vaciar las reglas del cortafuegos CSF, ejecute el siguiente comando:
csf -f
Para deshabilitar CSF, ejecute el siguiente comando:
csf -x
Conclusión
¡Felicidades! Ha instalado correctamente el cortafuegos CSF en Ubuntu 20.04. También ha habilitado una interfaz de usuario web para administrar CSF desde un navegador web. Pruebe CSF hoy en alojamiento VPS de Atlantic.Net.