CSF(ConfigServer Filewall)是一个基于iptables的防火墙,提供了实现
iptables规则的更简单方法。 我们有时需要添加一些特定的规则(如iptables规则未涉及CSF)。 如果我么直接从shell命令添加这些规则,他们将删除在下次重启CSF之后,
在Linux上安装CSF防火墙 ,本文将帮助你如何使用CSF添加自定义iptables规则。 CSF提供
前置 和
后置
的脚本,在CSF规则设置之前或之后执行。 例如以特定的IP打开
3306端口
(MySQL默认的,。您可以添加以下规则做为前置或后置脚本 [ideabox]
csfpre.sh:要运行外部命令CSF配置的iptables之前
csfpost.sh:要运行外部命令CSF配置的iptables之后 [/ ideabox]
CSF规则之前
csfpre.sh:创建文件 /etc/csf/csfpre.sh并添加下面的命令。
iptables -I INPUT -s 1.2.3.4 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
CSF规则之后
csfpost.sh:创建一个文件 /etc/csf/csfpost.sh并添加下面的命令。
iptables -I INPUT -s 1.2.3.4 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
重新启动CSF
要重新启动CSF只需键入以下命令并观察结果。 CSF产生大量输出,所以你可能看不到在一个脚本中整个输出,因此增加
more 命令来查看页面结果。
# csf -r | more
请参见下面的输出部分
...
...
Deleting chain `LOCALOUTPUT'
Deleting chain `LOGDROPIN'
Deleting chain `LOGDROPOUT'
Running /etc/csf/csfpre.sh
DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67
DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67
...
...
...
ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53
LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0
LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0
LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0
LOCALINPUT all opt in !lo out * ::/0 -> ::/0
Running /etc/csf/csfpost.sh
谢谢!使用这篇文章。 了解更多关于CSF的配置。
