隽永东方
隽永东方主菜单

Centos安装CSF防火墙开通PPTP VPN服务教程

文章

    鉴于最近服务器安全形式极其严峻,在朋友的建议下给服务器统一安装了CSF防火墙,可以在一定程度上防御黑客攻击,安装过程如下:

    一,下载安装

    1. wget http://www.configserver.com/free/csf.tgz
    2. tar -zxvf csf.tgz
    3. cd csf
    4. sh install.sh

    如果报perl模块错误,

    1. yum install perl-libwww-perl perl

    测试一下csf

    1. [root@rudder csf]# perl /etc/csf/csftest.pl
    2. Testing ip_tables/iptable_filter…OK
    3. Testing ipt_LOG…OK
    4. Testing ipt_multiport/xt_multiport…OK
    5. Testing ipt_REJECT…OK
    6. Testing ipt_state/xt_state…OK
    7. Testing ipt_limit/xt_limit…OK
    8. Testing ipt_recent…OK
    9. Testing xt_connlimit…OK
    10. Testing ipt_owner/xt_owner…OK
    11. Testing iptable_nat/ipt_REDIRECT…OK
    12. Testing iptable_nat/ipt_DNAT…OK
    13. RESULT: csf should function on this server

    二,配置csf

    配置文件里面,可配置的东西很多,基本配置就不说了,网上有。在这里说一下,怎么配置防止少量的ddos,cc攻击

    1,端口洪水攻击保护

    1. vim /etc/csf/csf.conf  //我做了二处改动,第一处如下
    2. PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

    解释:

    1),如果300秒内有5个以上连接到tcp端口22的连接,则至少在发现最后一个数据包300秒后阻止该IP地址访问端口22,即在该阻止被取消前有300秒的”安静” 期。

    2), 如果5秒内有20个以上连接到tcp端口80的连接,则至少在发现最后一个数据包5秒后阻止该IP地址访问端口80,即在该阻止被取消前有5秒的”安静” 期

    给我感觉是,csf不光有一面墙,墙后面,还有一张网,动态防御。感觉这一点做的比较好。

    2,启动csf

    1. [root@rudder ~]# /etc/init.d/csf start

    启动时打印出很多信息,查看一下,有没有fatal,以及warning,如果没有。

    1. vim /etc/csf/csf.conf  //第二处如下
    2. TESTING = “0”     //TESTING由1改为0

    重启一下csf,[root@rudder ~]# csf -r,重启命令都和apf是一样的。二个基于iptables的防火墙,真的有很多地方相似。

    3,启动lfd

    1. [root@rudder ~]# /etc/init.d/lfd start

    这个模块,有一个很重要的功能,就是记录下防御的过程。

    194.28.70.132被阻止四次后,被永久禁止访问了。然后我查了一下,这个IP自动被放到了csf.deny下面去了。

    三,CSF防火墙下配置PPTP VPN

    1)vim /etc/csf/csfpre.sh  输入以下规则:

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    iptables -A INPUT -p gre -j ACCEPT

    iptables -A OUTPUT -p gre -j ACCEPT

    iptables -A FORWARD -i ppp+ -o eth0 -p ALL -j ACCEPT

    iptables -A FORWARD -i eth0 -o ppp+ -p ALL -j ACCEPT

    2)vim /etc/csf/csfpost.sh  输入以下代码:

    service pptpd stop
    service pptpd start

    3)运行 csf -r  重启CSF防火墙,再重启PPTPD  service pptpd restart ,重试一下应该就可以拨通VPN了。

    注意:需要开通1723端口,否则VPN可以拨通但是无法上网。

     

     

    
    Shopify Free Trial Apply
    Shopify 60天试用
    Shopify 14天试用
      Google Ads 推广
      隽永东方全网营销
      隽永智库