Na wszystkich serwerach VPS lub dedykowanych z panelem DirectAdmin, konfigurowanych przez Kylos, standardowo instalowany jest firewall CSF (ConfigServer Firewal&Security). Umożliwia on szybkie blokowanie adresów IP, otwieranie/zamykanie poszczególnych portów, a także automatyczne blokowanie adresów IP przy nieprawidłowym/błędnym logowaniu do usług.
Firewall CSF może być zarządzany z poziomu interfejsu webowego dostępnego w DirectAdminie. W celu otworzenia panelu CSF należy zalogować się do panelu DirectAdmin na konto administratora „admin”. Następnie na poziomie Administratora należy odnaleźć sekcję „Opcje dodatkowe” i wybrać pozycję „ConfigServer Firewall&Security”.
Zdjęcie blokady adresu IP
Jeżeli nie możemy dostać się do serwera z zainstalowanym panelem DirectAdmin i firewallem CSF to przyczyną może być fakt, że adres IP naszego łącza internetowego został zablokowany. W celu odblokowania należy połączyć się z inernetem za pomocą alternatywnego łącza, np. przez smartfon z włączona funkcją transmisji danych. Zdjęcie blokady adresu IP można przeprowadzić na dwa sposoby.
1. Użycie funkcji „Quick Unblock” do odblokowania adresu IP
W panelu CSF odnajdujemy opcję „Quick Unblock” wpisujemy adres IP swojego łącza, z którego były problemy z połączeniem. Adres IP można sprawdzić np. na stronie http://lg.kylos.pl . W polu do wypełnienia wpisujemy ten adres IP, a następnie klikamy przycisk „Quick Unblock”.
Użycie tej funkcji spowoduje odblokowanie zarówno blokad stałych znajdujących się w pliku /etc/csf/csf.deny, jak i blokad tymczasowych zapisanych w pamięci.
2. Przeglądanie blokad stałych i tymczasowych
a) usunięcie blokady stałej
Blokadę na adres IP można również zdjąć poprzez edycję pliku blokad stałych /etc/csf/csf.deny – w tym celu wyszukujemy w panelu CSF opcji „Firewall Deny IPs”. Zostanie otwarty plik zawierający wszystkie blokowane adresy IP na stałe. Wciskamy kombinacje klawiszy: Crtl + F w celu uruchomienia wyszukiwarki w przeglądarce i wpisujemy blokowany adres IP.
Po znalezieniu blokowanego adresu, usuwamy linię go zawierającą i klikamy na przycisk „Change”, a w następnym kroku na przycisk „Restart csf+lfd”.
b) usunięcie blokady tymczasowej
Jeżeli nie znaleźliśmy blokowanego adresu IP w blokadach stałych to należy sprawdzić blokady tymczasowe. W panelu CSF odszukujemy opcję „Temprary IP entries”, klikamy na nią i odblokowujemy żądany adres IP.
3. Usunięcie wszystkich blokowanych adresów IP (niezalecane!!!)
W CSF mamy również możliwość usunięcia wszystkich blokowanych adresów IP znajdujących się w /etc/csf/csf.deny. Nie jest to zalecana operacja ze względów bezpieczeństwa.
W celu usuniecia wszystkich blokowanych adresów należy odszukać opcję „Flush All Blocks” i kliknąć na nią.
Nałożenie blokady na adres IP
Czasami może zajść potrzeba zablokowania dostępu do serwera określonemu adresowi IP. W tym celu wykorzystujemy funkcję „Quick Deny”. W polach do wypełnienia wpisujemy blokowany adres IP oraz komentarz dlaczego go blokujemy lub co to za adres i naciskamy przycisk „Quick Deny”.
Dodanie adresu IP do listy wyjątków (białej listy)
Możemy również dodać określony adres IP do listy wyjątków – spowoduje to brak blokad na ten konkretny adres IP w przypadku wystąpienia z niego błędnych połączeń. Nie zalecamy tego ze względów bezpieczeństwa.
W celu dodania adresu IP do wyjątków należy użyć funkcji „Quick Allow” w panelu CSF.
Tymczasowe odblokowanie/zablokowanie adresu IP
Adres IP można również zablokować lub odblokować na pewien okres czasu, korzystając z opcji „Temporary Allow/Deny”.
Wybieramy rodzaj akcji: blokowanie (block) lub zezwalanie (allow), wpisujemy adres IP i ewentualnie po przecinku, jakich portów ma ta akcja dotyczyć. Następnie podajemy czas według wybranej z listy jednostki (domyślnie sekundy), na koniec możemy wpisać komentarz do tej akcji. Zatwierdzamy wszystko naciśnięciem przycisku „Temprary Allow/Deny”.
Otwieranie i zamykanie określonych portów TCP oraz UDP w konfiguracji CSF.
W panelu CSF możemy również na stałe zablokować lub odblokować określone porty TCP/UDP. W tym celu należy odnaleźć opcję „Firewall Configuration”.
1. Otworzenie/zablokowanie portu TCP
W „Firewall Configuration” odszukujemy następujące linie:
-
Allow incoming TCP ports – zezwól na połączenia na następujących portach przychodzących TCP
-
Allow outgoing TCP ports – zezwól na połączenia na następujących portach wychodzących TCP
W pola do wypełnienia, wpisujemy żądane porty TCP zarówno przychodzące jak i wychodzące. Porty wpisujemy po przecinku. Jeżeli potrzebujemy wpisać zakres portow wpisujemy je w postaci:
35000:35999
Oznacza to, że porty TCP z zakresu 35000 – 35999 zostaną otwarte. Zatwierdzamy konfigurację wciskając przycisk „Change” na końcu konfiguracji.
2. Otworzenie/zablokowanie portu UDP
W „Firewall Configuration” odszukujemy następujące linie:
-
Allow incoming UDP ports – zezwól na połączenia na następujących portach przychodzących UDP
-
Allow outgoing UDP ports – zezwól na połączenia na następujących portach wychodzących UDP
W pola do wypełnienia, wpisujemy żądane porty UDP zarówno przychodzące jak i wychodzące. Porty wpisujemy po przecinku. Jeżeli potrzebujemy wpisać zakres portow wpisujemy je w postaci:
35000:35999
Oznacza to, że porty UDP z zakresu 35000 – 35999 zostaną otwarte. Zatwierdzamy konfigurację wciskając przycisk „Change” na końcu konfiguracji.
