主页 / server / 问题

问题[csf](server)

Martin Hope
HippoMan
Asked: 2020-10-06 11:50:34 +0800 CST
  • 1

我在csf v14.05基于 Debian-8 的服务器上使用。

csf.conf中,我有以下内容:

TCP_IN = "53,80,110,119,143,443,465,587,953,993,995"

我想在 中选择性地覆盖它csf.deny,仅针对某些特定的主机/端口组合,如下例所示:

tcp|in|d=143|s=aaa.bbb.ccc.ddd # actual IP address dummied out

但是,仍然允许来自aaa.bbb.ccc.ddd端口的请求。443

我知道规则会覆盖所有其他规则,因此, within的行为csf.allow似乎也是相同的。TCP_INcsf.conf

除了某些选定的IP地址之外,有什么方法csf可以允许对给定端口的开放访问,就像我在这里尝试做的那样?

非常感谢。

firewall port csf
Martin Hope
Chathu
Asked: 2020-07-01 07:20:15 +0800 CST
  • 0

今天我已经将我的 Ubuntu 18.04.04 VPS 服务器升级到了 Ubuntu 20.04。现在 CSF 未启动并显示以下错误并且未启动 CSF 服务。

*Error* The path to iptables is either not set or incorrect for IPTABLES [/sbin/ip6tables] in /etc/csf/csf.conf at /usr/local/csf/lib/ConfigServer/URLGet.pm line 26.
Compilation failed in require at /usr/sbin/csf line 21.
BEGIN failed--compilation aborted at /usr/sbin/csf line 21.

当我测试 iptables 时,它显示以下结果。

root@server:~# sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination    

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination    

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination    
root@server:~# ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

如何解决这个 CSF iptable 问题?

ubuntu-20.04 csf
Martin Hope
aye
Asked: 2017-02-05 08:13:01 +0800 CST
  • 1

我正在寻找一种方法来阻止 csf 中的小 ip 范围,例如151.80.31.103 to 151.80.31.115

我知道如何通过发出一个 cmmand 来阻止每个 ip csf -d IP,但是像给定的例子一样,有一种方法来阻止一小部分 ip 范围会更有效。

我已经搜索了一段时间,但没有找到任何相关信息。

感谢您的任何提示!

ip csf block
Martin Hope
user46688
Asked: 2017-01-06 20:24:31 +0800 CST
  • 5

我将我的/etc/hosts.allow文件修改为

sshd : 192.168.0.0/255.255.255.0 : allow
sshd : xxx.xxx.xxx.* : allow
sshd : ALL : deny

(其中 xxx 代表我的实际 IP 地址编号,通配符 * 代表整个范围 0-255)然后重新启动 sshd 和 Apache Web 服务器。在接下来的一周里,我观察着来自外国的 IP 地址继续出现在/etc/csf/csf.deny.

116.31.116.15 # lfd: (sshd) Failed SSH login from 116.31.116.15 (CN/China/-): 5 in the last 300 secs ...

我的期望是否正确,hosts.allow文件中被拒绝的 IP 地址甚至不应该显示登录屏幕来尝试登录,因此 csf.deny 日志中的条目证明我的 hosts.allow 文件没有做我想要的?

或者,我是否被一般错误消息 ( 5 in the last 300 secs) 误导了,因为实际上这些 IP 地址实际上并未尝试输入用户和密码 5 次?

我的目标是防止未经批准的 IP 地址甚至无法输入用户名和密码。我怎么知道我是否实现了这一目标?

当他们的 IP 实际上被拒绝时,我应该期望 csf.deny 文件显示什么?

linux security csf hosts.allow
Martin Hope
user329119
Asked: 2016-11-21 18:25:27 +0800 CST
  • 2

CSF-LFD 几乎阻塞了所有打开的端口。它还阻止了我需要的端口 10000。

我可以通过类似的代码打开端口:

cat << EOF >> /etc/csf/csf.conf

tcp|in|d=10000|s=aa.bb.cc.dd
EOF
service csf restart

对于阅读本文的新手,请注意我选择了因为我的服务器对于任何连接tcp_in它的人来说都是远程的,甚至包括我自己。

我的问题:

是否可以在不提及任何 IP 等的情况下打开端口,如果可以,为什么?我问这个是因为我想让打开 IP 的过程自动进行,作为我用来安装服务器环境的脚本的一部分,并且人们会对此有特定的答案,他们可以在 Google 搜索中找到;我个人浏览了一些文章,我发现所有文章都涉及在连接 IP 时才打开 CSF 封闭端口。

firewall port csf
Martin Hope
DDdW
Asked: 2016-07-16 05:58:58 +0800 CST
  • 1

我们正在尝试在 centos 6 上设置一个 openvpn 服务器。

我们已经通过 /etc/hosts.deny 阻止了除了白名单中的一对之外的所有 IP 地址,我们也对 csf.deny 做了同样的事情(除了白名单)。

此块似乎正在工作,无法通过 ssh 从非白名单 IP 地址访问机器。

但是,当我们从同一个未列入白名单的 ip(通过 943)访问 openvpn 服务器时,我们可以登录 Web 面板。

除了白名单中的 ip,我们如何阻止所有流量,包括来自任何地方的 openvpn?

firewall centos openvpn hosts csf
Martin Hope
Roberto Meijide
Asked: 2016-04-20 07:42:36 +0800 CST
  • 0

我有一个运行 CENTOS 6.7 x86_64 并激活了 CSF 防火墙的 VPS 服务器。有时我会在“防火墙拒绝 IP”中看到突然阻止从我的国家(西班牙)到我的一些客户的连接。

不是每个人,也不是每天,但每周 2-3 次我必须手动解除对我客户的一些 IP 的阻止,因为 CSF 阻止了它们。

如何配置它以不阻止来自西班牙的连接并以相同的方式与世界其他地方工作?我不想只从西班牙连接,我不想阻止来自西班牙的任何 IP。

firewall csf
Martin Hope
HddnTHA
Asked: 2014-11-24 04:47:29 +0800 CST
  • 0

我有一个在 Centos 6.6 上运行的网络服务器。最近 Config Server Security Firewall 向我发送了超过 150 封关于一些恶意机器人试图猜测我的客户端 ftp 用户和密码的电子邮件。我讨厌暴力攻击,我尝试将我的 ftp 端口从 21 更改为 ****。我配置了我的 purefptd.conf

# IP address/port to listen to (default=all IP and port 21).

Bind *** # My New Port Here Without 127.0.0.1

然后我在我的 csf 配置文件中允许 IPv4 和 IPv6 的所有 TCP_IN、TCP_OUT、UDP_IN、UDP_OUT 新端口,并在资源之后添加 iptables 规则

iptables -A INPUT -p tcp --dport newport -j ACCEPT
iptables -A OUTPUT -p tcp --dport newport -j ACCEPT
iptables -A INPUT -p udp --dport newport -j ACCEPT
iptables -A OUTPUT -p udp --dport newport -j ACCEPT
service iptables save
service iptables restart

更改后我重新启动 pureftpd 和 csf。现在,当我尝试通过 Filezilla 3.9.0.6 连接到我的 ftp 服务器时,它给了我这个答案。

Response:   227 Entering Passive Mode (*,*,*,*)
Command:    MLSD
Error:  Connection timed out
Error:  Failed to retrieve directory listing
csf
Martin Hope
Armand
Asked: 2014-01-20 12:35:26 +0800 CST
  • 1

我已经启用了带有 CSF 的 LSF,因为我想收到一些信息,但是我被 CSF 用类似的电子邮件轰炸了:

Subject: lfd on [Hostname]: Excessive resource usage: www-data

Time: Sun Jan 19 21:29:17 2014 +0100
Account: www-data
Resource: Virtual Memory Size
Exceeded: 279 > 200 (MB)
Executable: /usr/lib/apache2/mpm-itk/apache2
Command Line: /usr/sbin/apache2 -k start
PID: 22991 (Parent PID:12217)
Killed: No

我已禁用 csf.conf 中的进程跟踪部分,但仍会收到这些日志。

# Set the value to 0 to disable this feature
PT_LIMIT = "0"

# How frequently processes are checked in seconds
PT_INTERVAL = "3600"

我检查了很多次 csf.conf 但找不到停止这些日志的正确位置。重新启动 csf 没有帮助......有人知道这是否是一个特殊的配置?

csf
Martin Hope
Dan J
Asked: 2013-01-10 09:34:07 +0800 CST
  • 3

我绝不是系统管理员,所以请多多包涵。

我有一个运行 Centos 5 的云服务器。我有 Virtualmin/Webmin 和一些运行没有问题的站点。我还安装了 CSF 来阻止持久的机器人攻击。

我可以访问我所有的网站 HTTP 和 HTTPS(没有 SSL)并且它们工作正常。

当我尝试访问我的 Webmin 的网络界面时

https://myhost.co.uk:10000

我的浏览器挂起,最终超时。由于 CSF 将我的 IP 添加到临时禁止列表,我无法再访问我的任何站点,这是日志条目:

*Port Scan* detected from 213.86.xxx.xxx (GB/United Kingdom/-). 16 hits in the last 187 seconds - *Blocked in csf* for 3600 secs

一旦我取消阻止我的 IP 并将其添加到临时允许列表中,我就可以访问 Web UI 登录页面。

任何想法为什么不允许初始请求?

csf