CSF を使用してカスタム iptables ルールを追加する方法

CSF (configserver firewall) は、iptables ルールを実装する簡単な方法を提供する iptables ベースのファイアウォールです。 CSF を追加するには、特定のルール (CSF の対象外の IPtables ルールなど) を追加する必要がある場合があります。シェルから iptables コマンドを直接使用してこれらのルールを追加すると、次回 CSF が再起動されるときに削除されます。

Linux に CSF ファイアウォールをインストールした後、この記事では CSF を使用してカスタム iptables ルールを追加する方法を紹介します。

CSF は、CSF ルールが設定される前または後に実行されるプレスクリプトとポストスクリプトを提供します。たとえば、特定の IP に対してポート 3306 (デフォルトの mysql) を開きたい場合は、スクリプト

csfpre.sh: csf が iptables を構成する前に外部コマンドを実行する

の前後に次のルールを追加できます。

csfpost.sh: csf が iptables を構成した後に外部コマンドを実行します

CSF ルールの前

ファイル /etc/csf/csfpre.sh を作成し、iptables ルールを追加します, csf が独自のルールを適用する前に、これらのルールを強制したいと考えています。

iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT

CSF ルールの後に

#ファイル /etc/csf/csfpost.sh を作成し、iptables ルールを追加します。できれば csf が独自のルールをファイアウォールに追加した後です。これらのルールを適用してください。

iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT

CSF の再起動

CSF を再起動するには、以下のコマンドを入力して結果を確認します。 CSF は大量の出力を生成するため、1 つのスクリプトで出力全体を確認することができない場合があるため、ページの結果を確認するためにさらにコマンドを追加することもできます。

# csf -r | more

以下の出力の一部を参照してください

...
...
Deleting chain `LOCALOUTPUT'
Deleting chain `LOGDROPIN'
Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.shDROP  tcp opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0  tcp dpt:67
DROP  udp opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0  udp dpt:67
...
...
...
ACCEPT  tcp opt -- in * out !lo  0.0.0.0/0  -> 8.8.8.8  tcp dpt:53
LOCALOUTPUT  all opt -- in * out !lo  0.0.0.0/0  -> 0.0.0.0/0
LOCALINPUT  all opt -- in !lo out *  0.0.0.0/0  -> 0.0.0.0/0
LOCALOUTPUT  all opt    in * out !lo  ::/0  -> ::/0
LOCALINPUT  all opt    in !lo out *  ::/0  -> ::/0Running /etc/csf/csfpost.sh

この記事はここで終了です。その他の興味深いコンテンツについては、PHP の

linux チュートリアル ビデオ##をご覧ください。中国語サイト #コラム！

以上がCSF を使用してカスタム iptables ルールを追加する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。