Administrar iptables a través de CSF (Línea de comandos de Linux)

Nivel de expertise: Medio

Iptables es el cortafuegos estándar de Linux. Es extremadamente potente y personalizable, pero como resultado puede ser increíblemente complejo de administrar. Por esta razón iWeb recomienda ConfigServer Security & Firewall (CSF) para administrar su configuración de iptables. CSF es una interfaz simplificada que le facilita el agregar o eliminar direcciones IP de su cortafuegos.

Este artículo tratará la administración de CSF e iptables desde la línea de comandos. Si usted está ejecutando WHM/cPanel, por favor consulte el artículo de la Base de conocimientos específico para WHM/cPanel. Si desea administrar iptables directamente, por favor consulte nuestro artículo sobre iptables en la Base de conocimientos.

Para administrar CSF, comience por iniciar sesión en su servidor utilizando SSH y cambie hacia el usuario root.

Habilitar o deshabilitar CSF

Usted puede habilitar o deshabilitar CSF de manera segura sin perder la configuración de su cortafuegos.

Para deshabilitar CSF:

csf -x

Para habilitar CSF:

csf -e

Administrar puertos

CSF puede abrir y cerrar puertos para una y todas las direcciones IP. Esto resulta útil cuando se ha cambiado la configuración de puertos a una distinta a la de los números de puerto estándar.

Simplemente edite el siguiente archivo utilizando un  editor de archivos:

/etc/csf/csf.conf

Encuentre las siguientes líneas y agregue los números de puerto que desea abrir:

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,26"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873"

El bloquear puertos es tan simple como el borrar el número de puerto de la lista.

Para comprobar que los cambios surten efecto, asegúrese de reiniciar CSF utilizando el siguiente comando:

csf -r

También es posible el bloquear a países enteros. Se advierte sin embargo, que algunos rangos de IP pueden no estar actualizados, en cuyo caso usted estaría perdiendo tráfico de visitantes legítimos. Además, por la sola cantidad de direcciones IP, el crear estas reglas puede añadir una tardanza extrema en los reinicios del servidor.

Si usted aún desea agregar países completos a su configuración de CSF, abra el siguiente archivo:

/etc/csf/csf.conf

Busque la sección titulada "CC_Allow or CC_Deny" e ingrese alguno de los siguientes códigos de país:

AF,AL,DZ,AS,AD,AO,AI,AQ,AG,AR,AM,AW,AU,AT,AZ,BS,BH,BD,BB,BY,BE,BZ,BJ,BM,BT,BO,BA,BW,BV,BR,IO,BN,BG,BF,BI,KH,CM,CA,CV,KY,CF,TD,CL,CN,CX,CC,CO,KM,CG,CD,CK,CR,CI,HR,CU,CY,CZ,DK,DJ,DM,DO,TP,EC,EG,SV,GQ,ER,EE,ET,FK,FO,FJ,FI,FR,FX,GF,PF,TF,GA,GM,GE,DE,GH,GI,GR,GL,GD,GP,GU,GT,GN,GW,GY,HT,HM,VA,HN,HK,HU,IS,IN,ID,IR,IQ,IE,IL,IT,JM,JP,JO,KZ,KE,KI,KP,KR,KW,KG,LA,LV,LB,LS,LR,LY,LI,LT,LU,MO,MK,MG,MW,MY,MV,ML,MT,MH,MQ,MR,MU,YT,MX,FM,MD,MC,MN,MS,MA,MZ,MM,NA,NR,NP,NL,AN,NC,NZ,NI,NE,NG,NU,NF,MP,NO,OM,PK,PW,PA,PG,PY,PE,PH,PN,PL,PT,PR,QA,RE,RO,RU,RW,KN,LC,VC,WS,SM,ST,SA,SN,SC,SL,SG,SK,SI,SB,SO,ZA,GS,ES,LK,SH,PM,SD,SR,SJ,SZ,SE,CH,SY,TW,TJ,TZ,TH,TG,TK,TO,TT,TN,TR,TM,TC,TV,UG,UA,AE,GB,US,UM,UY,UZ,VU,VE,VN,VG,VI,WF,EH,YE,ZM,ZW

Para más información, por favor consulte la documentación oficial:  http://www.configserver.com/techfaq/index.php

Administrar direcciones IP

Para permitir o agregar a la lista blanca de direcciones IP, utilice el siguiente comando:

csf -a 123.123.123.123

Remplace los números con la dirección IP que desea permitir. Esta dirección IP se agregará a la lista de direcciones IP a las cuáles se les permitirá el acceso a su servidor. La lista está almacenada en /etc/csf.conf y puede ser editada manualmente.

También puede eliminar una dirección IP de la lista de permitidas utilizando este comando:

csf -ar 123.123.123.123

En caso de un ataque, también puede bloquear ciertas direcciones IP. Utilice el siguiente comando:

csf -d 123.123.123.123

Esta dirección IP se agregará a la lista de direcciones IP bloqueadas por iptables y está almacenada en /etc/csf.deny

Usted también puede eliminar una dirección IP utilizando el siguiente comando:

csf -dr 123.123.123.123

Cuando haya completado sus cambios, asegúrese de reiniciar CSF:

csf -r

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk