Sử dụng CSF để lọc IP quốc tế (CSF Allow/Deny theo Country)
- Bước 1: Cài đặt tường lửa và kiểm tra hoạt động
- Việc đầu tiên, bạn cần cài đặt CSF vào server (bạn có thể làm theo hướng dẫn Hướng cài đặt và cấu hình CSF – Long Vân (longvan.net))
- Sau khi cài đặt xong CSF bạn stop và disable firewalld để tránh xung đột với CSF, sau đó bạn kiểm tra status CSF đã active chưa:
- Bước 2: Kiểm tra kết nối từ quốc tế.
Trong bài hướng dẫn này, Long vân sẽ sử dụng sử dụng ứng dụng https://check-host.net/ để kiểm tra ping từ nhiều nguồn. - Bước 3: Cấu hình CSF để chặn kết nối quốc tế:
- Mở file cấu hình CSF với lệnh
vi /etc/csf/csf.conf
- Sử dụng lệnh :set nu để hiển thị thứ tự dòng.
- Ở dòng 993 CC_DENY, bạn cấu hình chặn theo mã quốc gia (bạn tham khảo https://countrycode.org/ lấy mã code 2 chữ số nhé). Để làm như vậy nhập country code vào danh sách được phân tách bởi dấu phẩy. Ở đây mình DENY các khu vực China, Australia, Jappan, Ukraine, Russia.
- Tìm dòng 1149 LF_SELECT = “0” đặt giá trị thành “1” để bật chức năng lọc địa chỉ IP
- Dòng 830 LF_GLOBAL = “0” đặt giá trị thành “1” để áp dụng các quy tắc lọc địa chỉ IP cho tất cả địa chỉ IP
- Ngoài ra, bạn chỉnh giá trị ở dòng LF_IPSET để sử dụng ipsec nếu có hỗ trợ.
- Ở dòng 11 bạn chỉnh TESTING = “0”, save và khởi động lại CSF bằng 2 command sau
chkconfig --level 235 csf on
service csf restart
- Mở file cấu hình CSF với lệnh
- Bước 4: Kiểm tra lại kết nối
- Như ở bước 1, bạn kiểm tra ping các khu vực bạn đã conf trước đó
- Đây là kết quả sau khi DENY của mình
Như vậy, Long Vân đã hoàn thành hướng dẫn Quý khách cách cài đặt và cấu hình firewall CSF, chúc Quý khách thành công !