Filtering Untuk Allow/Deny Ip Dan Port Tertentu Di Configserver Security & Firewall (Csf)

Jika pada artikel sebelumnya sudah dibahas ihwal installasi (lihat artikel) dan konfigurasi (lihat artikel) ConfigServer Security & Firewall (csf) hingga sanggup diaktifkan, pada artikel ini, akan dibahas bagaimana caranya  ConfigServer Security & Firewall (csf) bisa membatasi IP Address mana saja yang boleh saluran ke server ConfigServer Security & Firewall (csf) atau PORT mana saja yang akan diblok dan tidak (diaktifkan) maupun PORT hanya sanggup diakses dari IP Address tertentu semua itu akan dibahas di Artikel ini.

Langkah pertama,

Masuk ke folder CSF kemudian edit file csf.conf dengan mengetikan perintah vi /etc/csf/csf.conf untuk penggunakan editor vi, anda sanggup mengunjungi artikel tentang  bagaimana cara memakai perintahperintah standar yang di editor vi (lihat artikel).

Kemudian cari baris #Allow incoming TCP Port ibarat pada gambar dibawah ini.. perhatikan Angka 1 hingga dengan 6, inilah pengaturan standar yang saya gunakan selalu untuk mengamankan banyak sekali server linux terutama centos.

Perlu diingat perubahan berikut ini (gambar dibawah ialah sesuai dengan kebutuhan bukan perintah yang mesti Anda jalankan) dalam artikel ini saya ambil kasus :

1. Server CentOS merupakan Webserver dengan PORT yang diakses dari luar berupa port 80 dan 443 yaitu PORT untuk http:// dan https://
2. Selain port kedua diatas yaitu port 80 dan 443 hanya diakses oleh IP Address tertentu saja.
3. Fungsi PING hanya boleh diakses oleh IP Address tertentu saja.
4. SSH Port 22 hanya sanggup diakses oleh IP 192.168.1.1
5. FTP Port 21 hanya sanggup diakses oleh IP 192.168.1.1
6. PING (ICMP)hanya sanggup diakses oleh IP 192.168.1.1
7. Akses ke MySQL Port 3306 hanya sanggup diakses oleh IP 192.168.1.1

Maka langkah selanjutnya ialah ibarat gambar dibawahnya..

Sesuai dengan deskripsi kebutuhan diatas maka, pengaturan untuk csf.conf itu sendiri diubah menjadi ibarat gambar berikut ini, yang artinya :
TCP IN/OUT hanya untuk port 80 dan 443 saja, alasannya ialah port ini akan diakses secara publik.
UDP IN/OUT dikosongkan alasannya ialah tidak ada koneksi untuk port ke UDP.

ICMP IN/OUT dikosongkan alasannya ialah hanya sanggup diakses oleh IP tertentu saja. (caranya digambar selanjutnya, bila sudah tamat simpan dan keluar dari aplikasi editor vi.

Restart service ConfigServer Security & Firewall (csf) dengan mengetikan perintah csf -r, ibarat pada gambar dibawah ini.

Agar IP Address 192.168.1.1 sanggup mengakses SSH, FTP, MySQL dan PING maka langkah selanjutnya ialah sebagai berikut. Buka file csf.allow di folder csf dengan mengetikan perintah vi /etc/csf/csf.allow seperti pada gambar berikut ini.

Tambahkan perintah, sesuai dengan gambar no 1 hingga dengan no 4, bila sudah tamat simpan dan keluar dari aplikasi vi tersebut.

Kemudian restart kembali service ConfigServer Security & Firewall (csf) dengan mengetikan perintah csf -r  seperti pada gambar berikut ini.

Berikut ini ialah perintah-perintah untuk Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

tcp/udp|in/out|s/d=port|s/d=ip|u=uid

Keterangannya :

1. tcp/udp : EITHER tcp OR udp OR icmp protocol
2. in/out : EITHER incoming OR outgoing connections
3. s/d=port : EITHER source OR destination port number (or ICMP type)
• (use a _ for a port range, e.g. 2000_3000)
• (use a , for a multiport list of up to 15 ports, e.g. 22,80,443)
4. s/d=ip : EITHER source OR destination IP address
5. u/g=UID : EITHER UID or GID of source packet, implies outgoing connections,
6. s/d=IP value is ignored

Contoh penerapan :

# TCP konekski masuk dari port 3306 dari IP 192.168.1.1
tcp|in|d=3306|s=192.168.1.1

# TCP koneksi keluar melalui 22 ke IP 192.168.1.1
tcp|out|d=22|d=192.168.1.1

# TCP koneksi masuk ke port 22 dari IP 192.168.1.1
d=22|s=192.168.1.1

# ICMP hanya sanggup dilakukan dari IP 192.168.1.1
icmp|in|d=ping|s=192.168.1.1

# TCP koneksi masuk ke port 22 dari Dynamic DNS address
tcp|in|d=22|s=www.taryo.net

Semoga bermanfaat.

Share this post