使用CSF添加自定義iptables規則的方法

這篇文章主要介紹了使用CSF添加自定義iptables規則的方法，具有一定借鑒價值，需要的朋友可以參考下。希望大家閱讀完這篇文章后大有收獲。下面讓小編帶著大家一起了解一下。

CSF（configserver firewall）是一種基于iptables的防火墻，為實現iptables規則提供了更簡單的方法。有時我們需要添加一些特定的規則（例如，CSF未涵蓋的IPtables規則）來添加CSF。如果我們直接從shell使用iptables命令添加這些規則，它們將在下次CSF重啟時被刪除。

在Linux上安裝了CSF防火墻之后，本篇文章將介紹如何使用CSF添加自定義iptables規則。

CSF提供在CSF規則設置之前或之后執行的前腳本和后腳本。例如，如果想打開3306端口（默認mysql）到特定的IP，可以在腳本前或腳本后添加以下規則

csfpre.sh：在csf配置iptables之前運行外部命令

csfpost.sh：在csf配置iptables之后運行外部命令

在CSF規則之前

創建一個文件/etc/csf/csfpre.sh并添加iptables規則，希望在csf應用自己的規則之前執行這些規則。

iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT

在CSF規則之后

創建一個文件/etc/csf/csfpost.sh并添加iptables規則，希望在csf將自己的規則添加到防火墻之后應用這些規則。

iptables -I INPUT -s1.2.3.4-p tcp -m state --state NEW -m tcp --dport3306-j ACCEPT

重啟CSF

要重新啟動csf，只需輸入下面的命令并查看結果。CSF產生大量的輸出，因此可能無法在一個腳本中看到整個輸出，因此還可以添加更多命令來查看頁面結果。

# csf -r | more

見下面輸出的一些部分

...
...
Deleting chain `LOCALOUTPUT'
Deleting chain `LOGDROPIN'
Deleting chain `LOGDROPOUT'Running /etc/csf/csfpre.shDROP  tcp opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0  tcp dpt:67
DROP  udp opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0  udp dpt:67
...
...
...
ACCEPT  tcp opt -- in * out !lo  0.0.0.0/0  -> 8.8.8.8  tcp dpt:53
LOCALOUTPUT  all opt -- in * out !lo  0.0.0.0/0  -> 0.0.0.0/0
LOCALINPUT  all opt -- in !lo out *  0.0.0.0/0  -> 0.0.0.0/0
LOCALOUTPUT  all opt    in * out !lo  ::/0  -> ::/0
LOCALINPUT  all opt    in !lo out *  ::/0  -> ::/0Running /etc/csf/csfpost.sh

感謝你能夠認真閱讀完這篇文章，希望小編分享使用CSF添加自定義iptables規則的方法內容對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業資訊頻道，遇到問題就找億速云，詳細的解決方法等著你來學習!