HƯỚNG DẪN Block or Allow Specific Ports by Country in the CSF Firewall

Thảo luận trong 'KIẾN THỨC VPS/SERVER' bắt đầu bởi quyet1990, 8/11/16.

  1. quyet1990

    quyet1990 New Member

    Tham gia ngày:
    22/10/16
    Bài viết:
    220
    Đã được thích:
    0
    Ngoài việc có thể để quản lý lưu lượng từ một quốc gia cụ thể hoặc một danh sách các nước, CFS cho phép bạn quản lý truy cập theo quốc gia đến các cổng cụ thể. Điều này có thể hữu ích nếu bạn cần phải đảm bảo rằng một dịch vụ cụ thể có sẵn trên toàn cầu (chẳng hạn như máy chủ web của bạn trên cổng 80), nhưng muốn hạn chế truy cập quốc tế với các dịch vụ như WHM/cPanel, SSH hoặc FTP

    Chuẩn bị
    Loạt bài này giả sử bạn có ConfigServer Firewall (CSF) được cài đặt trên máy chủ cPanel của bạn, và bạn có quyền truy cập vào WebHost Manager (WHM).
    Việc đầu tiên là chắc chắn bạn đã sao lưu cấu hình tường lửa hiện tại (tham khảo bài viết này ) trước khi thực hiện bất kỳ thay đổi. Sau khi cuộc tấn công đã giảm xuống, bạn sẽ muốn khôi phục lại cấu hình tường lửa hiện tại bằng cách sử dụng các hướng dẫn trong bài viết đó.

    Bước 1: Mở plugin Firewall trong WHM
    1. Trong WebHost Manager, tìm và chọn ConfigServer Security & Firewall dưới phần Plugins trong menu bên trái. Bạn cũng có thể bắt đầu gõ "fire" vào trường tìm kiếm ở phía trên bên trái để thu hẹp các lựa chọn.
    2. Nhấn vào nút Firewall Configuration để mở tập tin cấu hình.
    [​IMG]

    Chặn truy cập đến cổng cụ thể theo quốc gia
    Hạn chế truy cập cổng tới địa chỉ IP xuất xứ từ một quốc gia cụ thể hoặc các nước có thể là một cách hiệu quả để giúp giảm thiểu các tác động hiệu quả tiêu cực mà country-level có thể mang lại.
    Trong trường hợp này, chỉ lưu lượng đến trên cổng chỉ định hoặc các cổng sẽ được kiểm tra đối với các dãy CIDR (s) cho mã quốc gia bị chặn (s).
    Nếu bạn muốn từ chối truy cập tới một số quốc gia hoặc muốn cho phép truy cập vào một cổng cho một quốc gia duy nhất.
    Trong ví dụ này, chúng tôi sẽ chặn truy cập vào cổng 21 (FTP), đến các địa chỉ xuất xứ từ China.
    Bước 1: Xác định các quốc gia hoặc đất nước sẽ bị chặn
    Cuộn xuống phần Country Code Lists and Settings và thêm mã quốc gia vào trường CC_DENY_PORTS. Có thể thêm nhiều quốc gia bằng cách dùng dấu phẩy ngăn cách và không có khoảng trắng ở giữa, và bạn có thể tìm thấy một danh sách các tiêu chuẩn ISO 3166-1 alpha-2 tại https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2.
    Liệt kê cổng sẽ bị chặn trong nước cụ thể trong trường CC_DENY_PORTS_TCPCC_DENY_PORTS_UDP.
    Ở đây, chúng tôi đã xác định rằng lưu lượng có nguồn gốc từ China không được phép kết nối trên cổng 21 (FTP) :
    [​IMG]
    Bước 2: Lưu thay đổi của bạn và khởi động lại Firewall
    Di chuyển đến dưới cùng của trang Firewall Configuration và kích vào nút Change.
    Trên màn hình tiếp theo, nhấp vào nút Restart csf+lfd để khởi động lại tường lửa với các thiết lập mới.

    [​IMG]

    Cho phép truy cập đến cổng cụ thể theo quốc gia
    Để hạn chế khả năng kết nối vào một cổng cụ thể hoặc các cổng đến khách với các địa chỉ IP xuất phát từ các quốc gia hay quốc gia cụ thể, bạn phải:
    - đóng cổng trong tường lửa
    - xác định mã quốc gia được phép kết nối vào các cổng bị chặn
    - chỉ rõ các cổng bị chặn được mở ra cho các nước cụ thể
    Trong ví dụ này, chúng tôi hạn chế truy cập vào cổng 21 (FTP), đến các địa chỉ IP có trụ sở tại Japan.
    Bước 1: Đóng cổng trong tường lửa
    Trên trang Firewall Configuration, cuộn xuống phần IPv4 Port Settings, và loại bỏ các cổng sẽ được dùng để hạn chế từ trường TCP_IN và trường UDP_IN (nếu có).
    Ở đây, chúng tôi đã loại bỏ cổng 21 từ các cổng của giao thức IPv4 cho phép, ngăn chặn có hiệu quả truy cập bên ngoài vào cổng.
    [​IMG]

    Bước 2: Xác định mã quốc gia được phép kết nối vào các cổng bị chặn
    Cuộn xuống phần Country Code Lists and Settings và thêm mã quốc gia đến CC_ALLOW_PORTS.
    Ở đây, chúng tôi đã xác định rằng lưu lượng có nguồn gốc từ Japan được phép kết nối vào cổng đã được đóng trong tường lửa (chúng tôi sẽ xác định các cổng cụ thể cho điều này cho phép trong các bước tiếp theo):

    [​IMG]
    Có thể thêm nhiều quốc gia bằng cách dùng dấu phẩy ngăn cách và không có khoảng trắng ở giữa, và bạn có thể tìm thấy một danh sách các tiêu chuẩn ISO 3166-1 alpha-2 tại https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2.

    Bước 3: Xác định các cổng đóng được phép đến các nước được chỉ định ở trên
    Bên dưới trường CC_ALLOW_PORTS, bạn sẽ thấy CC_ALLOW_PORTS_TCPCC_ALLOW_PORTS_UDP.

    Chúng tôi sẽ thêm các cổng đến các đất nước (hoặc nước) được quy định tại CC_ALLOW_PORTS, trong trường hợp này, cổng 21:

    [​IMG]

    Bước 4: Lưu thay đổi của bạn và khởi động lại Firewall
    Di chuyển đến dưới cùng của trang Firewall Configuration và kích vào nút Change.
    Trên màn hình tiếp theo, nhấp vào nút Restart csf+lfd để khởi động lại tường lửa với các thiết lập mới.

    [​IMG]
     
    #1 quyet1990, 8/11/16
(Bạn phải Đăng nhập hoặc Đăng ký để gửi bài viết ở đây.)
Tags:

Chia sẻ trang này

Đang tải...