Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)
Jika pada artikel sebelumnya sudah dibahas tentang installasi (lihat artikel) dan konfigurasi (lihat artikel) ConfigServer Security & Firewall (csf) sampai bisa diaktifkan, pada artikel ini, akan dibahas bagaimana caranya  ConfigServer Security & Firewall (csf) bisa membatasi IP Address mana saja yang boleh akses ke server ConfigServer Security & Firewall (csf) atau PORT mana saja yang akan diblok dan tidak (diaktifkan) maupun PORT hanya bisa diakses dari IP Address tertentu semua itu akan dibahas di Artikel ini.
Langkah pertama,
Masuk ke folder CSF kemudian edit file csf.conf dengan mengetikan perintah vi /etc/csf/csf.conf untuk penggunakan editor vi, anda dapat mengunjungi artikel tentang  bagaimana cara menggunakan perintahperintah standar yang di editor vi (lihat artikel).

Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Kemudian cari baris #Allow incoming TCP Port seperti pada gambar dibawah ini.. perhatikan Angka 1 sampai dengan 6, inilah pengaturan standar yang saya gunakan selalu untuk mengamankan berbagai server linux terutama centos.
Perlu diingat perubahan berikut ini (gambar dibawah adalah sesuai dengan kebutuhan bukan perintah yang mesti Anda jalankan) dalam artikel ini saya ambil kasus :

  1. Server CentOS merupakan Webserver dengan PORT yang diakses dari luar berupa port 80 dan 443 yaitu PORT untuk http:// dan https://
  2. Selain port kedua diatas yaitu port 80 dan 443 hanya diakses oleh IP Address tertentu saja.
  3. Fungsi PING hanya boleh diakses oleh IP Address tertentu saja.
  4. SSH Port 22 hanya bisa diakses oleh IP 192.168.1.1
  5. FTP Port 21 hanya bisa diakses oleh IP 192.168.1.1
  6. PING (ICMP)hanya bisa diakses oleh IP 192.168.1.1
  7. Akses ke MySQL Port 3306 hanya bisa diakses oleh IP 192.168.1.1
Maka langkah selanjutnya adalah seperti gambar dibawahnya..

Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Sesuai dengan deskripsi kebutuhan diatas maka, pengaturan untuk csf.conf itu sendiri diubah menjadi seperti gambar berikut ini, yang artinya :
TCP IN/OUT hanya untuk port 80 dan 443 saja, karena port ini akan diakses secara publik.
UDP IN/OUT dikosongkan karena tidak ada koneksi untuk port ke UDP.
ICMP IN/OUT dikosongkan karena hanya bisa diakses oleh IP tertentu saja. (caranya digambar selanjutnya, jika sudah selesai simpan dan keluar dari aplikasi editor vi.
Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Restart service ConfigServer Security & Firewall (csf) dengan mengetikan perintah csf -r, seperti pada gambar dibawah ini.
Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Agar IP Address 192.168.1.1 dapat mengakses SSH, FTP, MySQL dan PING maka langkah selanjutnya adalah sebagai berikut. Buka file csf.allow di folder csf dengan mengetikan perintah vi /etc/csf/csf.allow seperti pada gambar berikut ini.
Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Tambahkan perintah, sesuai dengan gambar no 1 sampai dengan no 4, jika sudah selesai simpan dan keluar dari aplikasi vi tersebut.
Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Kemudian restart kembali service ConfigServer Security & Firewall (csf) dengan mengetikan perintah csf -r  seperti pada gambar berikut ini.
Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

Berikut ini adalah perintah-perintah untuk Filtering Untuk Allow/Deny IP dan Port tertentu di ConfigServer Security & Firewall (csf)

tcp/udp|in/out|s/d=port|s/d=ip|u=uid

Keterangannya :
  1. tcp/udp : EITHER tcp OR udp OR icmp protocol
  2. in/out : EITHER incoming OR outgoing connections
  3. s/d=port : EITHER source OR destination port number (or ICMP type)
    • (use a _ for a port range, e.g. 2000_3000)
    • (use a , for a multiport list of up to 15 ports, e.g. 22,80,443)
  4. s/d=ip : EITHER source OR destination IP address
  5. u/g=UID : EITHER UID or GID of source packet, implies outgoing connections,
  6. s/d=IP value is ignored
Contoh penerapan :

# TCP konekski masuk dari port 3306 dari IP 192.168.1.1
tcp|in|d=3306|s=192.168.1.1

# TCP koneksi keluar melalui 22 ke IP 192.168.1.1
tcp|out|d=22|d=192.168.1.1

# TCP koneksi masuk ke port 22 dari IP 192.168.1.1
d=22|s=192.168.1.1

# ICMP hanya bisa dilakukan dari IP 192.168.1.1
icmp|in|d=ping|s=192.168.1.1

# TCP koneksi masuk ke port 22 dari Dynamic DNS address
tcp|in|d=22|s=www.taryo.net

Semoga bermanfaat.


\\