ホームページ >運用・保守 >Linuxの運用と保守 >CSF を使用してカスタム iptables ルールを追加する方法
CSF (configserver firewall) は、iptables ルールを実装する簡単な方法を提供する iptables ベースのファイアウォールです。 CSF を追加するには、特定のルール (CSF の対象外の IPtables ルールなど) を追加する必要がある場合があります。シェルから iptables コマンドを直接使用してこれらのルールを追加すると、次回 CSF が再起動されるときに削除されます。
Linux に CSF ファイアウォールをインストールした後、この記事では CSF を使用してカスタム iptables ルールを追加する方法を紹介します。
CSF は、CSF ルールが設定される前または後に実行されるプレスクリプトとポストスクリプトを提供します。たとえば、特定の IP に対してポート 3306 (デフォルトの mysql) を開きたい場合は、スクリプト
csfpre.sh: csf が iptables を構成する前に外部コマンドを実行する
の前後に次のルールを追加できます。csfpost.sh: csf が iptables を構成した後に外部コマンドを実行します
CSF ルールの前
ファイル /etc/csf/csfpre.sh を作成し、iptables ルールを追加します, csf が独自のルールを適用する前に、これらのルールを強制したいと考えています。
iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT
CSF ルールの後に
#ファイル /etc/csf/csfpost.sh を作成し、iptables ルールを追加します。できれば csf が独自のルールをファイアウォールに追加した後です。これらのルールを適用してください。iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPTCSF の再起動CSF を再起動するには、以下のコマンドを入力して結果を確認します。 CSF は大量の出力を生成するため、1 つのスクリプトで出力全体を確認することができない場合があるため、ページの結果を確認するためにさらにコマンドを追加することもできます。
# csf -r | more以下の出力の一部を参照してください
... ... Deleting chain `LOCALOUTPUT' Deleting chain `LOGDROPIN' Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.shDROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:67 DROP udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:67 ... ... ... ACCEPT tcp opt -- in * out !lo 0.0.0.0/0 -> 8.8.8.8 tcp dpt:53 LOCALOUTPUT all opt -- in * out !lo 0.0.0.0/0 -> 0.0.0.0/0 LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0 LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0 LOCALINPUT all opt in !lo out * ::/0 -> ::/0Running /etc/csf/csfpost.shこの記事はここで終了です。その他の興味深いコンテンツについては、PHP の
linux チュートリアル ビデオ##をご覧ください。中国語サイト #コラム!
以上がCSF を使用してカスタム iptables ルールを追加する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。