隽永东方设计工作室
Eastern Design Studio Menu

Centos安装CSF防火墙开通PPTP VPN服务教程

   隽永东方内训教程   标签: CentosCSF防火墙PPTP VPN   716   //   评论数   //   参与数
鉴于最近服务器安全形式极其严峻,在朋友的建议下给服务器统一安装了CSF防火墙,可以在一定程度上防御黑客攻击,安装过程如下:

一,下载安装

  1. wget http://www.configserver.com/free/csf.tgz
  2. tar -zxvf csf.tgz
  3. cd csf
  4. sh install.sh

如果报perl模块错误,

  1. yum install perl-libwww-perl perl

测试一下csf

  1. [root@rudder csf]# perl /etc/csf/csftest.pl
  2. Testing ip_tables/iptable_filter…OK
  3. Testing ipt_LOG…OK
  4. Testing ipt_multiport/xt_multiport…OK
  5. Testing ipt_REJECT…OK
  6. Testing ipt_state/xt_state…OK
  7. Testing ipt_limit/xt_limit…OK
  8. Testing ipt_recent…OK
  9. Testing xt_connlimit…OK
  10. Testing ipt_owner/xt_owner…OK
  11. Testing iptable_nat/ipt_REDIRECT…OK
  12. Testing iptable_nat/ipt_DNAT…OK
  13. RESULT: csf should function on this server

二,配置csf

配置文件里面,可配置的东西很多,基本配置就不说了,网上有。在这里说一下,怎么配置防止少量的ddos,cc攻击

1,端口洪水攻击保护

  1. vim /etc/csf/csf.conf  //我做了二处改动,第一处如下
  2. PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

解释:

1),如果300秒内有5个以上连接到tcp端口22的连接,则至少在发现最后一个数据包300秒后阻止该IP地址访问端口22,即在该阻止被取消前有300秒的”安静” 期。

2), 如果5秒内有20个以上连接到tcp端口80的连接,则至少在发现最后一个数据包5秒后阻止该IP地址访问端口80,即在该阻止被取消前有5秒的”安静” 期

给我感觉是,csf不光有一面墙,墙后面,还有一张网,动态防御。感觉这一点做的比较好。

2,启动csf

  1. [root@rudder ~]# /etc/init.d/csf start

启动时打印出很多信息,查看一下,有没有fatal,以及warning,如果没有。

  1. vim /etc/csf/csf.conf  //第二处如下
  2. TESTING = “0”     //TESTING由1改为0

重启一下csf,[root@rudder ~]# csf -r,重启命令都和apf是一样的。二个基于iptables的防火墙,真的有很多地方相似。

3,启动lfd

  1. [root@rudder ~]# /etc/init.d/lfd start

这个模块,有一个很重要的功能,就是记录下防御的过程。

194.28.70.132被阻止四次后,被永久禁止访问了。然后我查了一下,这个IP自动被放到了csf.deny下面去了。

三,CSF防火墙下配置PPTP VPN

1)vim /etc/csf/csfpre.sh  输入以下规则:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -p gre -j ACCEPT

iptables -A OUTPUT -p gre -j ACCEPT

iptables -A FORWARD -i ppp+ -o eth0 -p ALL -j ACCEPT

iptables -A FORWARD -i eth0 -o ppp+ -p ALL -j ACCEPT

2)vim /etc/csf/csfpost.sh  输入以下代码:

service pptpd stop
service pptpd start

3)运行 csf -r  重启CSF防火墙,再重启PPTPD  service pptpd restart ,重试一下应该就可以拨通VPN了。

注意:需要开通1723端口,否则VPN可以拨通但是无法上网。

 

 

       

头像

隽永东方创始人 & CEO

生于福建长汀,学于海滨大连,创业于国际都市上海,隽永东方设计工作室创始人兼CEO,喜欢音乐、运动、旅游,热心公益事业,在网站设计开发和运营数据中心等领域皆有多年从业经验,独特的国际视角,以客户为中心,视客户需求为核心价值观……

Call Me   Email Us   Weibo       Google+   LinkedIn

作者:


  售前在线询价单
  全网营销套餐
  隽永东方学院