Zartnet adlı üyeden alıntı: mesajı görüntüle
Merhaba arkadaşlar,

CSF config ayarlarını yapılandırmaya çalışıyorum bununla alakalı bazı sorunlar yaşıyorum. Yardımcı olursanız sevinirim.


Sunucumda manuel olaral yurtdışından girişleri engellemek amacıyla csf - country block kullanıyorum(csf içersinde bulunan bi özellik.) Bu işlem ile tüm yutdışı trafiğinin vds e erişimini kesiyorum fakat bu noktadan sonra sorunlar yaşamaya başlıyorum.

COUNTRY BLOCK sistemi csf ıcersınde dıger ozellıklerle bırlıkte gayet guzel calısıyor, country block harıcındekı dıger csf ozellıklerı ıse bıldıgınız uzere sunucuya saldırıları engellemek üzere yapılandırılmış ve işte tam burada sorunlar yaşıyorum.

kurmuş oldugum vds 1gb ram / 1x cpu ; vds özellikleri yetersiz oldugu için saldırı geldıgınde firewall devreye gırıyor ve sunucu cpu ve ram bakımından yetersız hale gelıyor.

Bunun için ıkı yontem var 1. yontem bol bol ram ve cpu kullanmak 2. yontem ise csf nın country block harıcındekı gerıye kalan tum ozellıklerını devredısı bırakmak.




CSF içinde sürekli aktif olan özellikler şunlar;

`INPUT'
`FORWARD'
`OUTPUT'
`ALLOWIN'
`ALLOWOUT'
`CC_ALLOW'
`CC_DENY'
`DENYIN'
`DENYOUT'
`INVALID'
`INVDROP'
`LOCALINPUT'
`LOCALOUTPUT'
`LOGDROPIN'
`LOGDROPOUT'
`PREROUTING'
`POSTROUTING'




sadece aktif olacak olan özellik ise

`CC_ALLOW'
`CC_DENY'

Yani Özet ile sorunumu anlatacak olursam; csf de sadece country block özelliğini kullanıp diğer özellikleri kapatmam gerekıyor bununla alakalı yardımlarınızı beklıyorum nasıl yapabılecegım hakkında bana yardımcı olursanız cok sevınırım.
Saldırı geldiğinde oluşan sunucu yüküne bahsettiğiniz gibi CSF neden olmuyor. CSF'in yaptığı tek şey size bir takım komutları kolayca bir iki tık yardımıyla konfigure etmeniz.

IP banlama örneği üzerinden gittiğimiz için şöyle açıklarsam daha sağlıklı olacaktır: Yukarıda sıraladığınız parametreler aslında sizin banlanmasını istediğiniz IP'leri iptables tarafına bildirir ve sizi karmaşadan kurtarır. Yani kısaca firewall görevini esas üstlenen iptables oluyor CSF sadece bir arayüz. Siz yukarıda bahsettiğiniz CSF parametrelerinin kullanımını kapatsanız da arka tarafta iptables hala çalışması gerektiği gibi çalışacak ve sunucuya saldırı geldiğinde yük oluşturacak. Yazılımsal firewall sistemlerinin en büyük sorunlarından biri bu olduğu için zaten firewall kısmı sunucudan ayrılıp adanmış cihazlar üzerinden servis ediliyor.

Tabi ben CSF kesinlikle hiç kaynak kullanmaz demiyorum onun da kendine özgü bir çok process ve log tracking işlemleri oluyor iptables aracılığı ile ban yapması için. Ama sizin senaryonuz üzerinden baktiğimizda gelen saldırı yüzünden oluşan "overhead" daha çok iptables ve sunucu kaynağınızın bir yere kadar uyum içinde çalışması üzerine kuruludur.

Kısaca toplayacak olursam anladığım kadarıyla siz CSF'in bazı özelliklerini sistemden arındırıp sadece bir kaç işlem yapsın ben de saldırılardan etkilenmeyeyim istiyorsunuz. Bahsettiğiniz özelliklere sahip bir sanal sunucuda zaten ülke bazlı engelleme yapmak çok risklidir. Yüzlerce ip bloğunu iptables aracılığı ile engellenmesini isterseniz bu normal olarak sunucuyu şişirir. Siz dediğiniz şekilde CSF'in işlerini azaltsanız da sizin saldırı durumunda hiç bir işinize yaramayacak bu durum.

Gece gece yorgunluk ile açıklayıcı olamamış olabilirim ancak iptables ile ilgili detaylı bilgi almak ve ne tür engellemeler yapabildiğiniz görmeniz için bağlantıyı inceleyebilirsiniz: http://linux.die.net/man/8/iptables