0
Kayıt Ol

CSF üzerinde sadece cc_block açmak - Yardım

12

2.516

  • 11-10-2014, 23:51:15
    #1
    Zartnet
    Zartnet
    Merhaba arkadaÅŸlar,

    CSF config ayarlarını yapılandırmaya çalışıyorum bununla alakalı bazı sorunlar yaşıyorum. Yardımcı olursanız sevinirim.


    Sunucumda manuel olaral yurtdışından girişleri engellemek amacıyla csf - country block kullanıyorum(csf içersinde bulunan bi özellik.) Bu işlem ile tüm yutdışı trafiğinin vds e erişimini kesiyorum fakat bu noktadan sonra sorunlar yaşamaya başlıyorum.

    COUNTRY BLOCK sistemi csf ıcersınde dıger ozellıklerle bırlıkte gayet guzel calısıyor, country block harıcındekı dıger csf ozellıklerı ıse bıldıgınız uzere sunucuya saldırıları engellemek üzere yapılandırılmış ve işte tam burada sorunlar yaşıyorum.

    kurmuş oldugum vds 1gb ram / 1x cpu ; vds özellikleri yetersiz oldugu için saldırı geldıgınde firewall devreye gırıyor ve sunucu cpu ve ram bakımından yetersız hale gelıyor.

    Bunun için ıkı yontem var 1. yontem bol bol ram ve cpu kullanmak 2. yontem ise csf nın country block harıcındekı gerıye kalan tum ozellıklerını devredısı bırakmak.




    CSF içinde sürekli aktif olan özellikler şunlar;

    `INPUT'
    `FORWARD'
    `OUTPUT'
    `ALLOWIN'
    `ALLOWOUT'
    `CC_ALLOW'
    `CC_DENY'
    `DENYIN'
    `DENYOUT'
    `INVALID'
    `INVDROP'
    `LOCALINPUT'
    `LOCALOUTPUT'
    `LOGDROPIN'
    `LOGDROPOUT'
    `PREROUTING'
    `POSTROUTING'




    sadece aktif olacak olan özellik ise

    `CC_ALLOW'
    `CC_DENY'

    Yani Özet ile sorunumu anlatacak olursam; csf de sadece country block özelliğini kullanıp diğer özellikleri kapatmam gerekıyor bununla alakalı yardımlarınızı beklıyorum nasıl yapabılecegım hakkında bana yardımcı olursanız cok sevınırım.
  • 11-10-2014, 23:56:30
    #2
    LineDatacenter
    LineDatacenter
    ÃœyeliÄŸi durduruldu
    Zartnet adlı üyeden alıntı: mesajı görüntüle
    Merhaba arkadaÅŸlar,

    CSF config ayarlarını yapılandırmaya çalışıyorum bununla alakalı bazı sorunlar yaşıyorum. Yardımcı olursanız sevinirim.


    Sunucumda manuel olaral yurtdışından girişleri engellemek amacıyla csf - country block kullanıyorum(csf içersinde bulunan bi özellik.) Bu işlem ile tüm yutdışı trafiğinin vds e erişimini kesiyorum fakat bu noktadan sonra sorunlar yaşamaya başlıyorum.

    COUNTRY BLOCK sistemi csf ıcersınde dıger ozellıklerle bırlıkte gayet guzel calısıyor, country block harıcındekı dıger csf ozellıklerı ıse bıldıgınız uzere sunucuya saldırıları engellemek üzere yapılandırılmış ve işte tam burada sorunlar yaşıyorum.

    kurmuş oldugum vds 1gb ram / 1x cpu ; vds özellikleri yetersiz oldugu için saldırı geldıgınde firewall devreye gırıyor ve sunucu cpu ve ram bakımından yetersız hale gelıyor.

    Bunun için ıkı yontem var 1. yontem bol bol ram ve cpu kullanmak 2. yontem ise csf nın country block harıcındekı gerıye kalan tum ozellıklerını devredısı bırakmak.




    CSF içinde sürekli aktif olan özellikler şunlar;

    `INPUT'
    `FORWARD'
    `OUTPUT'
    `ALLOWIN'
    `ALLOWOUT'
    `CC_ALLOW'
    `CC_DENY'
    `DENYIN'
    `DENYOUT'
    `INVALID'
    `INVDROP'
    `LOCALINPUT'
    `LOCALOUTPUT'
    `LOGDROPIN'
    `LOGDROPOUT'
    `PREROUTING'
    `POSTROUTING'




    sadece aktif olacak olan özellik ise

    `CC_ALLOW'
    `CC_DENY'

    Yani Özet ile sorunumu anlatacak olursam; csf de sadece country block özelliğini kullanıp diğer özellikleri kapatmam gerekıyor bununla alakalı yardımlarınızı beklıyorum nasıl yapabılecegım hakkında bana yardımcı olursanız cok sevınırım.
    merhaba

    veri merkezi denizli net internet ise , bunlarla hiç uğraşmadan talep oluşturun direk ip adresini yurtdışı erişimine kapatsınlar
  • 12-10-2014, 00:11:27
    #3
    DHS
    DHS
    Datacenterdan bloklamak en güzel çözümdür.
    Fakat aşırı ram cpu kullanımı yapan kısımlar genelde loglama ve mail gönderim kısımlarıdır ve tabi bir çok servisinide devredışı bırakbilirsin csf.conf dosyasından

    Loglama ve mail gönderimleri %60 cpu ve ram kullanımını düşürecektir.
  • 12-10-2014, 00:35:33
    #4
    Zartnet
    Zartnet
    DHS adlı üyeden alıntı: mesajı görüntüle
    Datacenterdan bloklamak en güzel çözümdür.
    Fakat aşırı ram cpu kullanımı yapan kısımlar genelde loglama ve mail gönderim kısımlarıdır ve tabi bir çok servisinide devredışı bırakbilirsin csf.conf dosyasından

    Loglama ve mail gönderimleri %60 cpu ve ram kullanımını düşürecektir.

    tesekkurler lakin datacenter tarafından ıp banladıgımıda superonlıne kktc ve azarbeycan gıbı bı cok erısım ıznı verecegım ulkeler deny kalıyor.

    buyuzden csf.conf dosyasında bu ayarların nasıl deaktif edileceğini gosterebılcek bırını arıyorum. eksız olarak
  • 12-10-2014, 01:23:09
    #5
    iptables
    iptables
    Zartnet adlı üyeden alıntı: mesajı görüntüle
    Merhaba arkadaÅŸlar,

    CSF config ayarlarını yapılandırmaya çalışıyorum bununla alakalı bazı sorunlar yaşıyorum. Yardımcı olursanız sevinirim.


    Sunucumda manuel olaral yurtdışından girişleri engellemek amacıyla csf - country block kullanıyorum(csf içersinde bulunan bi özellik.) Bu işlem ile tüm yutdışı trafiğinin vds e erişimini kesiyorum fakat bu noktadan sonra sorunlar yaşamaya başlıyorum.

    COUNTRY BLOCK sistemi csf ıcersınde dıger ozellıklerle bırlıkte gayet guzel calısıyor, country block harıcındekı dıger csf ozellıklerı ıse bıldıgınız uzere sunucuya saldırıları engellemek üzere yapılandırılmış ve işte tam burada sorunlar yaşıyorum.

    kurmuş oldugum vds 1gb ram / 1x cpu ; vds özellikleri yetersiz oldugu için saldırı geldıgınde firewall devreye gırıyor ve sunucu cpu ve ram bakımından yetersız hale gelıyor.

    Bunun için ıkı yontem var 1. yontem bol bol ram ve cpu kullanmak 2. yontem ise csf nın country block harıcındekı gerıye kalan tum ozellıklerını devredısı bırakmak.




    CSF içinde sürekli aktif olan özellikler şunlar;

    `INPUT'
    `FORWARD'
    `OUTPUT'
    `ALLOWIN'
    `ALLOWOUT'
    `CC_ALLOW'
    `CC_DENY'
    `DENYIN'
    `DENYOUT'
    `INVALID'
    `INVDROP'
    `LOCALINPUT'
    `LOCALOUTPUT'
    `LOGDROPIN'
    `LOGDROPOUT'
    `PREROUTING'
    `POSTROUTING'




    sadece aktif olacak olan özellik ise

    `CC_ALLOW'
    `CC_DENY'

    Yani Özet ile sorunumu anlatacak olursam; csf de sadece country block özelliğini kullanıp diğer özellikleri kapatmam gerekıyor bununla alakalı yardımlarınızı beklıyorum nasıl yapabılecegım hakkında bana yardımcı olursanız cok sevınırım.
    Saldırı geldiğinde oluşan sunucu yüküne bahsettiğiniz gibi CSF neden olmuyor. CSF'in yaptığı tek şey size bir takım komutları kolayca bir iki tık yardımıyla konfigure etmeniz.

    IP banlama örneği üzerinden gittiğimiz için şöyle açıklarsam daha sağlıklı olacaktır: Yukarıda sıraladığınız parametreler aslında sizin banlanmasını istediğiniz IP'leri iptables tarafına bildirir ve sizi karmaşadan kurtarır. Yani kısaca firewall görevini esas üstlenen iptables oluyor CSF sadece bir arayüz. Siz yukarıda bahsettiğiniz CSF parametrelerinin kullanımını kapatsanız da arka tarafta iptables hala çalışması gerektiği gibi çalışacak ve sunucuya saldırı geldiğinde yük oluşturacak. Yazılımsal firewall sistemlerinin en büyük sorunlarından biri bu olduğu için zaten firewall kısmı sunucudan ayrılıp adanmış cihazlar üzerinden servis ediliyor.

    Tabi ben CSF kesinlikle hiç kaynak kullanmaz demiyorum onun da kendine özgü bir çok process ve log tracking işlemleri oluyor iptables aracılığı ile ban yapması için. Ama sizin senaryonuz üzerinden baktiğimizda gelen saldırı yüzünden oluşan "overhead" daha çok iptables ve sunucu kaynağınızın bir yere kadar uyum içinde çalışması üzerine kuruludur.

    Kısaca toplayacak olursam anladığım kadarıyla siz CSF'in bazı özelliklerini sistemden arındırıp sadece bir kaç işlem yapsın ben de saldırılardan etkilenmeyeyim istiyorsunuz. Bahsettiğiniz özelliklere sahip bir sanal sunucuda zaten ülke bazlı engelleme yapmak çok risklidir. Yüzlerce ip bloğunu iptables aracılığı ile engellenmesini isterseniz bu normal olarak sunucuyu şişirir. Siz dediğiniz şekilde CSF'in işlerini azaltsanız da sizin saldırı durumunda hiç bir işinize yaramayacak bu durum.

    Gece gece yorgunluk ile açıklayıcı olamamış olabilirim ancak iptables ile ilgili detaylı bilgi almak ve ne tür engellemeler yapabildiğiniz görmeniz için bağlantıyı inceleyebilirsiniz: http://linux.die.net/man/8/iptables
  • 12-10-2014, 01:34:37
    #6
    Zartnet
    Zartnet
    iptables adlı üyeden alıntı: mesajı görüntüle
    Saldırı geldiğinde oluşan sunucu yüküne bahsettiğiniz gibi CSF neden olmuyor. CSF'in yaptığı tek şey size bir takım komutları kolayca bir iki tık yardımıyla konfigure etmeniz.

    IP banlama örneği üzerinden gittiğimiz için şöyle açıklarsam daha sağlıklı olacaktır: Yukarıda sıraladığınız parametreler aslında sizin banlanmasını istediğiniz IP'leri iptables tarafına bildirir ve sizi karmaşadan kurtarır. Yani kısaca firewall görevini esas üstlenen iptables oluyor CSF sadece bir arayüz. Siz yukarıda bahsettiğiniz CSF parametrelerinin kullanımını kapatsanız da arka tarafta iptables hala çalışması gerektiği gibi çalışacak ve sunucuya saldırı geldiğinde yük oluşturacak. Yazılımsal firewall sistemlerinin en büyük sorunlarından biri bu olduğu için zaten firewall kısmı sunucudan ayrılıp adanmış cihazlar üzerinden servis ediliyor.

    Tabi ben CSF kesinlikle hiç kaynak kullanmaz demiyorum onun da kendine özgü bir çok process ve log tracking işlemleri oluyor iptables aracılığı ile ban yapması için. Ama sizin senaryonuz üzerinden baktiğimizda gelen saldırı yüzünden oluşan "overhead" daha çok iptables ve sunucu kaynağınızın bir yere kadar uyum içinde çalışması üzerine kuruludur.

    Kısaca toplayacak olursam anladığım kadarıyla siz CSF'in bazı özelliklerini sistemden arındırıp sadece bir kaç işlem yapsın ben de saldırılardan etkilenmeyeyim istiyorsunuz. Bahsettiğiniz özelliklere sahip bir sanal sunucuda zaten ülke bazlı engelleme yapmak çok risklidir. Yüzlerce ip bloğunu iptables aracılığı ile engellenmesini isterseniz bu normal olarak sunucuyu şişirir. Siz dediğiniz şekilde CSF'in işlerini azaltsanız da sizin saldırı durumunda hiç bir işinize yaramayacak bu durum.

    Gece gece yorgunluk ile açıklayıcı olamamış olabilirim ancak iptables ile ilgili detaylı bilgi almak ve ne tür engellemeler yapabildiğiniz görmeniz için bağlantıyı inceleyebilirsiniz: http://linux.die.net/man/8/iptables
    gecenın bu vaktınde bukadar acıklayıcı bı metın yazdıgınız ıcın gercekten cok tesekkur ederım. Anlattıgınız durum dogrultusunda bı kac cıkarım yaptım consol dan gorduklerımle bırlestırdıgımde csf saldırıları http://prntscr.com/4v9ued bu sekılde iptables tarafına aktarıyor. aktarım yaparkende ıyıce şişiriyor makineyi. ayrıca csf yi kapatıp saldırıyı ızledıgımde sunucuda düşme yaşamıyorum ama csf yı açıp saldırıyı yenilediğimde sunucu anında düşüyor. İşte bu noktadan sonra csf nın bu iptables tarafıa gonderdıgı emırler cok fazla oldugunu ve makınenın yetersız kaldıgını soyluyorum. csf nın bu loglamasının onune gecmek lazım.
  • 12-10-2014, 01:49:21
    #7
    iptables
    iptables
    Zartnet adlı üyeden alıntı: mesajı görüntüle
    gecenın bu vaktınde bukadar acıklayıcı bı metın yazdıgınız ıcın gercekten cok tesekkur ederım. Anlattıgınız durum dogrultusunda bı kac cıkarım yaptım consol dan gorduklerımle bırlestırdıgımde csf saldırıları http://prntscr.com/4v9ued bu sekılde iptables tarafına aktarıyor. aktarım yaparkende ıyıce şişiriyor makineyi. ayrıca csf yi kapatıp saldırıyı ızledıgımde sunucuda düşme yaşamıyorum ama csf yı açıp saldırıyı yenilediğimde sunucu anında düşüyor. İşte bu noktadan sonra csf nın bu iptables tarafıa gonderdıgı emırler cok fazla oldugunu ve makınenın yetersız kaldıgını soyluyorum. csf nın bu loglamasının onune gecmek lazım.
    Rica ederim elimden geldiğince herkese faydalı olabilecek şekilde anlatmaya çalışıyorum herkes nimetlensin diye.

    Saldırı varken CSF'i kapattığınız anda sunucunun normale dönmesinin nedeni CSF kapanırken iptables kurallarını sıfırlamasıdır. Tekrar CSF'i aktif ettiğinizde CSF tarafından belirlenen tüm kurallar iptables'e aktarılır. Bu durum da tekrar saldırılara karşılık vermeye çalıştığı için sunucunun yığılmasına neden olur.

    Benim size önerim bahsettiğiniz gibi baştan CSF ayarları ile oynamaya kalkmak yerine ülke bazlı engelleme olayından vazgeçip CSF'i normal çalışacak şekilde ayarlamanız. Sizin bulunduğunuz sunucu bu tarz bir saldırı engelleme işini kaldırabilecek seviyede değil. 100-200 arası iptables kuralı sizin sunucunuz için ideal yukarısı risk oluşturur. Ek olarak günlük hayat senaryosu üzerinden düşündüğümüz zaman 1gb ram bulunan bir sunucu üstünde CSF olmasa bile belli bir seviye saldırı aldığı zaman sıkıntıya girecektir.

    Bir kademe daha iyi öneri ise verimerkezinden paylaşımlı firewall hizmeti almanız veya sunucunuzu makul bir seviyede ram+cpu eklemeniz.
  • 12-10-2014, 02:31:16
    #8
    DHS
    DHS
    csf de config ayarlarında gereksiz modüllerin açıklamasında disable kelimesini aratarak sonucu neyse ona göre kapatabilirsiniz.
    Genelde "0" dır ama detaylı incelemeniz gerekir.
  • 12-10-2014, 10:10:35
    #9
    Turklokasyon
    Turklokasyon
    Zartnet adlı üyeden alıntı: mesajı görüntüle
    Merhaba arkadaÅŸlar,

    CSF config ayarlarını yapılandırmaya çalışıyorum bununla alakalı bazı sorunlar yaşıyorum. Yardımcı olursanız sevinirim.


    Sunucumda manuel olaral yurtdışından girişleri engellemek amacıyla csf - country block kullanıyorum(csf içersinde bulunan bi özellik.) Bu işlem ile tüm yutdışı trafiğinin vds e erişimini kesiyorum fakat bu noktadan sonra sorunlar yaşamaya başlıyorum.

    COUNTRY BLOCK sistemi csf ıcersınde dıger ozellıklerle bırlıkte gayet guzel calısıyor, country block harıcındekı dıger csf ozellıklerı ıse bıldıgınız uzere sunucuya saldırıları engellemek üzere yapılandırılmış ve işte tam burada sorunlar yaşıyorum.

    kurmuş oldugum vds 1gb ram / 1x cpu ; vds özellikleri yetersiz oldugu için saldırı geldıgınde firewall devreye gırıyor ve sunucu cpu ve ram bakımından yetersız hale gelıyor.

    Bunun için ıkı yontem var 1. yontem bol bol ram ve cpu kullanmak 2. yontem ise csf nın country block harıcındekı gerıye kalan tum ozellıklerını devredısı bırakmak.




    CSF içinde sürekli aktif olan özellikler şunlar;

    `INPUT'
    `FORWARD'
    `OUTPUT'
    `ALLOWIN'
    `ALLOWOUT'
    `CC_ALLOW'
    `CC_DENY'
    `DENYIN'
    `DENYOUT'
    `INVALID'
    `INVDROP'
    `LOCALINPUT'
    `LOCALOUTPUT'
    `LOGDROPIN'
    `LOGDROPOUT'
    `PREROUTING'
    `POSTROUTING'




    sadece aktif olacak olan özellik ise

    `CC_ALLOW'
    `CC_DENY'

    Yani Özet ile sorunumu anlatacak olursam; csf de sadece country block özelliğini kullanıp diğer özellikleri kapatmam gerekıyor bununla alakalı yardımlarınızı beklıyorum nasıl yapabılecegım hakkında bana yardımcı olursanız cok sevınırım.

    Merhaba. Öncelikle CSW'de bahsettiğiniz ülke engelleme sistemi ile IP'nin yurtdısına kapatılması arasında erişim olarak bir fark yok. Çünkü superonline kullanıcılarının sisteminize giriş yapamamasının sebebi sizinle trafik oluştururken tracert sorgusunda yurtdışına uğruyor olmalarıdır. Dolayısıyla bunu çözmüş olsanız bile CSW yurtdışından girişe izin vermeyeceği için tracert sorgusunda yurtdışından giriş yapıyor gibi görünen superonline kullanıcıları yine bağlanamayacaktır. Bunların testlerini TSSUNUCUM olarak biz defalarca yaptık. Giriş yapabiliyor olduğunu varsaysam bile bu, bazı yurtdışı IP bloklarını engellemediğiniz anlamına gelmektedir. Bunun yerine iptables'e alınan trafik izlenerek bazı port limitleri koymanız daha faydanıza olacak ve performansınıza etki etmeyecektir. Bu doğrultuda CSF'nin yurtdışı engellemesinin sizin açınızdan bir fayda oluşturmayacağını düşünüyorum.

    Hayırlı forumlar.