[Centminmod] – Thiết lập tường lửa với CSF [NEW]

Bức tường lửa thì trong các hệ điều hành có sẵn, lẽ ra tôi không nên đưa vào dòng Centminmod này. Tuy nhiên, mặc định Centminmod đã thiết lập Firewall cho bạn rất kỹ nên nếu chưa biết về nó bạn sẽ gặp nhiều trường hợp như không gửi được mail qua SMTP, không thể điều khiển từ xa,… Vì vậy mình sẽ hướng dẫn các bạn. biết thông qua thiết lập Tường lửa trong Centminmod.

Firewall trong Centminmod là nó sử dụng ứng dụng Tường lửa CSF – một ứng dụng Firewall rất mạnh và miễn phí cho Linux hiện nay. Vì vậy, thiết lập Firewall trong Centminmod cũng giống như thiết lập CSF Firewall.

I. Thêm IP vào danh sách bỏ chặn

Theo mặc định, Tường lửa trong Centminmod sẽ chặn gần như tất cả các kết nối bên ngoài và một số kết nối từ bên trong máy chủ ra bên ngoài, vì vậy bạn có thể gặp lỗi nếu sử dụng CloudFlare, Incapsula, PingNode hoặc các lệnh liên quan khác để gửi dữ liệu ra ngoài hoặc nhận dữ liệu từ một vài nơi.

Do đó, để sử dụng các công việc này, bạn cần thêm IP của máy chủ được kết nối vào danh sách bỏ chặn (Whitelist) bằng lệnh sau:

[bash]csf -a 123.456.789 # Ghi chú[/bash]

Trong đó, 123,456,789 là IP của máy chủ đích. Ví dụ: tôi muốn một máy chủ có IP là 165.487.84.87 để có thể lấy dữ liệu từ máy chủ hiện tại của tôi thông qua lệnh rsync sau đó thêm những thứ sau:

[bash]csf -a 165.487.84.87 # Máy chủ sao lưu của tôi[/bash]

Tuy nhiên, nếu bạn có nhiều IP và cần thêm chúng nhanh chóng, bạn có thể chỉnh sửa tệp /etc/csf/csf.allow để thêm nhanh chóng. Đây là dải IP của một số dịch vụ được nhiều người dùng, chép vào cuối tệp /etc/csf/csf.allow Xin vui lòng:

IP của CloudFlare

csf -a 199.27.128.0/21 cloudflare
csf -a 173.245.48.0/20 cloudflare
csf -a 103.21.244.0/22 cloudflare
csf -a 103.22.200.0/22 cloudflare
csf -a 103.31.4.0/22 cloudflare
csf -a 141.101.64.0/18 cloudflare
csf -a 108.162.192.0/18 cloudflare
csf -a 190.93.240.0/20 cloudflare
csf -a 188.114.96.0/20 cloudflare
csf -a 197.234.240.0/22 cloudflare
csf -a 198.41.128.0/17 cloudflare
csf -a 162.158.0.0/15 cloudflare
csf -a 104.16.0.0/12 cloudflare

IP của Incapsula

csf -a 199.83.128.0/21 incapsula
csf -a 198.143.32.0/19 incapsula
csf -a 149.126.72.0/21 incapsula
csf -a 103.28.248.0/22 incapsula
csf -a 45.64.64.0/22 incapsula
csf -a 185.11.124.0/22 incapsula
csf -a 192.230.64.0/18 incapsula

Sau khi thêm, nhớ gõ lệnh csf -r để khởi động lại CSF Firewall.

II. Bỏ chặn cổng SMTP

Dịch vụ SMTP thường sử dụng 3 cổng phổ biến nhất 25, 465 và 443. Mặc định nó sẽ không cho phép gửi dữ liệu ra ngoài qua 3 cổng này nên đó là lý do nhiều bạn nói Centminmod không hỗ trợ Email.

Để thêm 3 cổng này vào danh sách trắng, hãy mở tệp /etc/csf/csf.conf và tìm đoạn văn TCP_OUT sau đó thêm các cổng vào đó như được hiển thị:

[Centminmod] – Thiết lập tường lửa với CSF [NEW]

Thêm cổng SMTP vào danh sách TCP_OUT

Vẫn đang khởi động lại với csf -r.

III. Chặn quyền truy cập từ một IP nhất định

Nếu bạn cần chặn một IP để họ không thể truy cập trang web hoặc truy cập SSH, hãy sử dụng lệnh sau:

[bash]csf -d 123.456.789[/bash]

Hoặc bạn có thể thêm nó nhanh chóng bằng cách chỉnh sửa tệp /etc/csf/csf.deny. Vẫn gõ lệnh csf -r để khởi động lại.

IV. Chặn Bot Spam

Theo mặc định, CSF đã có một danh sách chứa hàng triệu IP của những kẻ gửi thư rác, vì vậy bạn có thể dễ dàng bật nó lên để nó có thể chặn tất cả các spam bots đang cố gắng truy cập vào máy chủ của bạn để khai thác thông tin.

Để bật chức năng này, hãy mở tệp /etc/csf/csf.blocklists và tìm:

# Spamhaus Don’t Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
#SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.lasso

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
#SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.lasso

# DShield.org Recommended Block List
# Details: http://dshield.org
#DSHIELD|86400|0|http://www.dshield.org/block.txt

# TOR Exit Nodes List
# To use this list you will probably need to change URLGET in csf.conf to use
# LWP as this list uses an SSL connection. Alternatively, use ALTTOR below
# Details: https://trac.torproject.org/projects/tor/wiki/doc/TorDNSExitList
#TOR|86400|0|https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.2.3.4

# Alternative TOR Exit Nodes List
# Details: http://torstatus.blutmagie.de/
#ALTTOR|86400|0|http://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv

Sau đó, bạn xóa chú thích # trong các dòng có TẤT CẢ các chữ cái viết hoa để trông như thế này:

# Spamhaus Don’t Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.lasso

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.lasso

# DShield.org Recommended Block List
# Details: http://dshield.org
DSHIELD|86400|0|http://www.dshield.org/block.txt

# TOR Exit Nodes List
# To use this list you will probably need to change URLGET in csf.conf to use
# LWP as this list uses an SSL connection. Alternatively, use ALTTOR below
# Details: https://trac.torproject.org/projects/tor/wiki/doc/TorDNSExitList
TOR|86400|0|https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.2.3.4

# Alternative TOR Exit Nodes List
# Details: http://torstatus.blutmagie.de/
ALTTOR|86400|0|http://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv

Và sau đó? Gõ lệnh csf -r Khởi động lại thì sao haha.

Phần kết

Vậy chắc bạn đã hiểu tại sao bạn không gửi email bằng SMTP trên Centminmod rồi đúng không? Hãy hiểu rõ thiết lập Firewall này vì nó sẽ rất hữu ích cho bạn trong việc cấu hình VPS ngày càng an toàn hơn, tránh những xâm nhập trái phép từ bên ngoài.

Một trong những lý do khiến mình thích Centminmod là nó được cấu hình khá chuẩn và kỹ lưỡng nên bạn hoàn toàn có thể yên tâm với các vấn đề như Spam, Brute Force Attack trên VPS.

Đánh giá nội dung này

Tiếp tục đọc trong bộ truyện