HƯỚNG DẪN Block Traffic by Country in the CSF Firewall

Thảo luận trong 'KIẾN THỨC VPS/SERVER' bắt đầu bởi quyet1990, 9/11/16.

  1. quyet1990

    quyet1990 New Member

    Tham gia ngày:
    22/10/16
    Bài viết:
    220
    Đã được thích:
    0
    Một trong những tính năng được ưa chuộng nhất trên các máy chủ cPanel là khả năng quản lý và lọc lưu lượng ở cấp quốc gia. Với plugin ConfigServer Firewall (CSF) trong WebHost Manager, bạn có thể làm chính xác điều đó.

    Country-level filtering trong CSF sử dụng cơ sở dữ liệu Maxmind GeoLite Country để có được các dãy CIDR (Classless Inter-Domain Routing) cho quốc gia cụ thể. Mỗi dãy CIDR bao gồm tất cả các địa chỉ IP được gán cho quốc gia đó.

    Có một số lý do tại sao một quản trị viên máy chủ muốn chặn lưu lượng từ một quốc gia cụ thể, với việc giảm băng thông, giảm thiểu nguy cơ về an ninh, và đảm bảo rằng nội dung của một trang web chỉ có thể xem ở cùng vị trí địa lý. Tuy nhiên, có một số yếu tố quan trọng để xem xét trước khi lọc lưu lượng ở cấp quốc gia:

    Một tỷ lệ nhỏ của lưu lượng không mong muốn vẫn có thể có được thông qua, và một tỷ lệ phần trăm nhỏ của lưu lượng mong muốn có thể bị chặn, bởi vì:
    - danh sách dãy CIDR sử dụng cho các quốc gia là không chính xác 100 phần trăm.
    - một số nhà cung cấp dịch vụ Internet và các dịch vụ web sử dụng các địa chỉ IP non-geographic cho khách hàng của họ.
    - dịch vụ proxy và mạng riêng ảo có thể được sử dụng để che dấu vị trí địa lý thực sự của một khách truy cập.
    Country-level filtering chỉ áp dụng cho các kết nối đến. Lưu lượng ra ngoài không bị ảnh hưởng.
    Sử dụng country-level filtering sẽ tác động tiêu cực đến hiệu suất và bạn sẽ nhận thấy thời gian phản ứng chậm hơn trên các trang web của bạn. Điều này là do kích thước tuyệt đối của các danh sách dãy CIDR (VD: danh sách cho Hoa Kỳ là 621K trong văn bản gốc và có chứa hơn 37.000 mục) và thực tế là tường lửa phải kiểm tra từng địa chỉ IP đến với các từng IP trong danh sách lựa chọn (s).

    Chuẩn bị
    Loạt bài này giả sử bạn có ConfigServer Firewall (CSF) được cài đặt trên máy chủ cPanel của bạn, và bạn có quyền truy cập vào WebHost Manager (WHM).
    Việc đầu tiên là chắc chắn bạn đã sao lưu cấu hình tường lửa hiện tại (tham khảo bài viết ở đây) trước khi thực hiện bất kỳ thay đổi.
    Bước 1: Mở plugin Firewall trong WHM
    1. Trong WebHost Manager, tìm và chọn ConfigServer Security & Firewall dưới phần Plugins trong menu bên trái. Bạn cũng có thể bắt đầu gõ "fire" vào trường tìm kiếm ở phía trên bên trái để thu hẹp các lựa chọn.
    2. Nhấn vào nút Firewall Configuration để mở tập tin cấu hình.

    [​IMG]

    Bước 2: Từ chối truy cập bằng mã quốc gia
    CSF không khuyến cáo sử dụng các khối country-level trên bất kỳ VPS hoặc máy chủ nhỏ, trừ khi dãy CIDR cho quốc gia được chọn là rất nhỏ. Việc sử dụng một khối country-level trên một máy chủ nhỏ hoặc VPS có thể làm chậm máy chủ đến mức nó trở nên không thể tiếp cận.

    Trên trang Firewall Configuration, di chuyển xuống phần Country Code Lists and Settings:
    [​IMG]
    Sử dụng trường CC_DENY chặn theo mã quốc gia:
    Trường CC_DENY chấp nhận mã quốc gia gồm hai chữ, chẳng hạn như "US" đối với Hoa Kỳ, "GB" cho Vương quốc Anh, và "DE" cho Đức.
    Có thể thêm nhiều quốc gia sử dụng dấu phẩy để ngăn cách và không có khoảng trắng ở giữa, chẳng hạn như "US,GB,DE" để từ chối truy cập đến Mỹ, Anh và Đức.
    Bạn có thể tìm thấy một danh sách các tiêu chuẩn ISO 3166-1 alpha-2 tại https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2
    Không được sử dụng trường CC_ALLOW để cho phép lưu lượng bằng mã quốc gia. CC_ALLOW mở tường lửa đến tất cả lưu lượng trên tất cả các cổng của các nước được liệt kê, bỏ qua mọi quy tắc cổng và giao thức tại chỗ.

    Bước 3: Lưu thay đổi của bạn và khởi động lại Firewall
    Di chuyển đến dưới cùng của trang Firewall Configuration và kích vào nút Change.
    Trên màn hình tiếp theo, nhấp vào nút Restart csf+lfd để khởi động lại tường lửa với các thiết lập mới.

    [​IMG]
     
    #1 quyet1990, 9/11/16
    Sửa lần cuối: 9/11/16
Tags:

Chia sẻ trang này

Đang tải...