معمولاً مدیران سرور جهت افزایش امنیت و جلوگیری از حملات مختلف به سرور از جمله حملات DDoS، محدوده IPهای یک کشور خاص را مسدود می‌کنند تا از دسترسی مهاجم به سرور جلوگیری شود. در این مقاله نحوه مسدود کردن رنج IP کشورها توسط فایروال CSF آموزش داده می‌شود.

 

اگر VPS یا سرور اختصاصی خود را دارید، بهترین گزینه برای ایمن سازی سرور linux در برابر حملات مختلف از جمله حمله DDoS، استفاده از فایروال "CSF" می‌باشد. در فایروال CSF می‌توانید هر کشور دلخواهی را از دسترسی به وب سایت خود مسدود کنید. بدین منظور باید وارد پوسته شده و با استفاده از فایروال CSF و کد دو کاراکتری کشور دستور خود را وارد نمایید.

 

این مطلب نیز ممکن است برای شما مفید باشد: نصب و تنظیم فایروال CSF در لینوکس

 

باز کردن فایل پیکربندی csf

با استفاده از ویرایشگر متن مورد نظر خود فایل پیکربندی CSF را باز کنید.

 

خروجی فایل پیکربندی csf

فایل پیکربندی اصلی CSF را از مسیر "etc/csf/csf.conf/" باز کرده و عبارت ""=CC_DENY را پیدا کنید. فایل را بصورت زیر خواهید دید:

# SECTION:Country Code Lists and Settings
###############################################################################
# Country Code to CIDR allow/deny. In the following two options you can allow
# or deny whole country CIDR ranges. The CIDR blocks are generated from the
# Maxmind GeoLite Country database http://www.maxmind.com/app/geolitecountry
# and entirely relies on that service being available
#
# Specify the the two-letter ISO Country Code(s). The iptables rules are for
# incoming connections only
#
# WARNING: These lists are never 100% accurate and some ISP's (e.g. AOL) use
# non-geographic IP address designations for their clients
#
# WARNING: Some of the CIDR lists are huge and each one requires a rule within
# the incoming iptables chain. This can result in significant performance
# overheads and could render the server inaccessible in some circumstances. For
# this reason (amongst others) we do not recommend using these options
#
# WARNING: Due to the resource constraints on VPS servers this feature should
# not be used on such systems unless you choose very small CC zones
#
# WARNING: CC_ALLOW allows access through all ports in the firewall. For this
# reason CC_ALLOW probably has very limited use and CC_ALLOW_FILTER is
# preferred
#
# Each option is a comma separated list of CC's, e.g. "US,GB,DE"
CC_DENY = ""
CC_ALLOW = ""

# An alternative to CC_ALLOW is to only allow access from the following
# countries but still filter based on the port and packets rules. All other
# connections are dropped
CC_ALLOW_FILTER = ""

# This option allows access from the following countries to specific ports
# listed in CC_ALLOW_PORTS_TCP and CC_ALLOW_PORTS_UDP
#
# Note: The rules for this feature are inserted after the allow and deny
# rules to still allow blocking of IP addresses

 

این مطلب نیز ممکن است برای شما مفید باشد: دستورات کاربردی فایروال CSF

 

اضافه کردن کشورهای مورد نظر

اگر می‌خواهید بیش از یک کشور را برای مسدود کردن اضافه کنید، کافی است کد دو حرفی کشورهای مورد نظر را به خط "CC_DENY" اضافه کرده و هر کد را با کاما از دیگری جدا نمایید. برای دریافت لیست کد کشورih می‌توانید از این سایت استفاده کنید.

CC_DENY = "CN,PK,NG,BD,KZ,BY"

 

راه اندازی مجدد csf

برای بارگیری و راه‌اندازی مجدد تنظیمات CSF از دستور زیر استفاده کنید.

# csf -r
DROP  all opt -- in !lo out *  216.245.221.90  -> 0.0.0.0/0
DROP  all opt -- in * out !lo  0.0.0.0/0  -> 216.245.221.90
DROP  all opt -- in !lo out *  201.207.197.134  -> 0.0.0.0/0
ACCEPT  icmp opt -- in !lo out *  0.0.0.0/0  -> 0.0.0.0/0  icmp type 3
ACCEPT  icmp opt -- in * out !lo  0.0.0.0/0  -> 0.0.0.0/0  icmp type 11
LOCALOUTPUT  all opt    in * out !lo  ::/0  -> ::/0
LOCALINPUT  all opt    in !lo out *  ::/0  -> ::/0

 

 

منبع:

2daygeek