Instalacja CSF (ConfigServer Firewall) na Debian 12

CSF (ConfigServer Firewall) to zaawansowany firewall oparty o iptables, który integruje się z serwerami hostingowymi (np. ISPConfig) i zapewnia ochronę przed atakami brute-force, DDoS oraz skanowaniem portów.

1. Wymagania

• Debian 12 (Bookworm)
• Root access
• Wyłączony UFW (zalecane)

2. Wyłączenie innych firewalli

ufw disable
systemctl stop firewalld

3. Instalacja zależności

apt update
apt install perl libwww-perl liblwp-protocol-https-perl iptables -y

4. Pobranie CSF

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf

5. Instalacja

sh install.sh

6. Test kompatybilności

perl /usr/local/csf/bin/csftest.pl

7. Konfiguracja CSF

nano /etc/csf/csf.conf

Zmień:

TESTING = "0"

Otwórz podstawowe porty

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,8080"
TCP_OUT = "20,21,22,25,53,80,443,587"

8. Restart CSF

csf -r

9. Integracja z ISPConfig

CSF działa automatycznie – dodatkowo możesz monitorować logi i blokady:

csf -l

10. Blokowanie IP

csf -d 1.2.3.4

11. Odblokowanie IP

csf -dr 1.2.3.4

12. Auto-blokady (LFD)

CSF zawiera LFD (Login Failure Daemon), który automatycznie blokuje brute-force:

systemctl enable lfd
systemctl start lfd

13. Najczęstsze błędy

• Zapomniane TESTING=1 (firewall nie działa)
• Zablokowany port SSH (22)
• Konflikt z innym firewallem

14. Optymalizacja bezpieczeństwa

• Ogranicz SSH do swojego IP
• Włącz SYNFLOOD
• Ustaw LF_LOGIN failures

15. Podsumowanie

CSF to jedno z najlepszych rozwiązań firewall dla serwerów hostingowych. W połączeniu z ISPConfig daje pełną kontrolę nad bezpieczeństwem.