Добавить Iptables правила с CSF

CSF (ConfigServer Filewall)  является «оберткой» для IPtables (для простой реализации правил Iptables). И так, я в своей статье «Добавить Iptables правила с CSF» расскажу как можно добавить правила IPtables в CSF. Иногда, необходимо добавить некоторые правила (например, Iptables правила не работают в CSF) в CSF. Если я добавлю эти правила, используя Iptables команды прямо из оболочки,  то они будут стерты после следующей перезагрузки CSF.

CSF обеспечивает предварительные и последующее скрипты, которые выполняется перед/после правил установки CSF.

Установка CSF в Unix/Linux

Я ранее, уже рассказывал о том как можно установить CSF на различные Unix/Linux ОС, если нужна помощь, то обратитесь к следующим статьям:

Установка CSF с LDF на Unix/Linux

Установка CSF на Linux с cPanel

Добавить Iptables правила с CSF

Например, вы хотите открыть порт 3306 (это порт по умолчанию в MySQL) для некоторого IP-адреса. Вы можете добавить следующие правила до или после скрипта.

• csf-before-install-rules.sh -Для запуска внешних команд IPTables до установки CSF правил.
• csf-after-install-rules.sh — Для запуска внешних команд IPTables после установки CSF правил.

Перед настройкой CSF правил

Создаем скрипт:

# vim /etc/csf/csf-before-install-rules.sh

Прописываем в него все необходимые команды:

[...]
iptables -I INPUT -s 31.187.70.238 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
[...]

Создаем скрипт:

# vim /etc/csf/csf-after-install-rules.sh

Прописываем в него все необходимые команды:

iptables -I INPUT -s 31.187.70.238 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT

Перезапуск CSF правил

Чтобы перезапустить CSF просто введите команду что ниже и наблюдайте за результатами:

# csf -r | more

Небольшой вывод csf:

...
...
Deleting chain `LOCALOUTPUT'
Deleting chain `LOGDROPIN'
Deleting chain `LOGDROPOUT'
Running /etc/csf/csf-before-install-rules.sh
DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67
DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67
[...]
ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53
LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0
LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0
LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0
LOCALINPUT all opt in !lo out * ::/0 -> ::/0
Running /etc/csf/csf-after-install-rules.sh

Как видим — это работает. А на этом, я завершаю свою статью «Добавить Iptables правила с CSF».