csf是外国一家小公司开发的linux系统免费防火墙,它基于iptables工作,能有效缓解服务器压力,具有自动屏蔽暴力破解密码ip、管理开放端口、免疫轻量DDos和CC等等功能,同时,安装和使用也极为简便,在我们常用的DA和CP面板还有图形化操作界面,也支持个人普通用户安装于LNMP环境下使用。
参数
-h, #显示此消息
-l, #列出/显示iptables配置
-l6, #列出/显示ip6ables配置
-s, #启用防火墙规则
-f, #清除/停止防火墙规则(注意:lfd可能重新启动csf)
-r, #重新启用防火墙规则
-q, #快速重启(lfd重启csf)
-sf, #不顾 LF_QUICKSTART设置,强制CLI重新启动
-a, #允许一个IP并添加至/etc/csf/csf.allow
-ar, #从/etc/csf/csf.allow 删除一个IP,删除规则
-d, #拒绝一个IP并添加至/etc/csf/csf.deny
-dr, #解除对一个IP的阻止并从/etc/csf/csf.deny里删除
-df, #删除并解除对/etc/csf/csf.deny里所有记录的阻止
-g, #查询与某IP匹配的iptables规则(包括 CIDR)
-t, #TTL显示当前临时IP及其TTL的列表
-tr, #从临时禁止和允许IP列表删除IPs
-td, --tempdeny ip ttl [-p port] [-d direction] 添加一个IP至临时禁止IP列表, ttl是指端口的阻止时间(默认:秒,可以使用一个h/m/d后缀) 可选端口。阻止方向可以是 以下任意一种:进入,传出或进出(默认:进入)
in, out or inout (default:in)
-ta, --tempallow ip ttl [-p port] [-d direction] 添加一个IP至临时允许IP列表( 默认:进出)
-tf, #清除所有临时IP记录
-cp, --cping PING all members in an lfd Cluster PINGlfd
-cd, #拒绝群里的某个IP,并添加到/etc/csf/csf.deny
-ca, #允许群里的某个IP,并添加到/etc/csf/csf.allow
-cr, #解除对群里某个IP的阻止,并从/etc/csf/csf.deny 删除
-cc, --cconfig [name] [value]
Change configuration option [name] to [value] in a Cluster #将群里的配置选项 [name]改为[value]
-cf, #在群里发送[file]至/etc/csf/
-crs, #重新启动群csf和lfd
-m, #在HTML显示服务器检查或发送邮件至[addr]地址,如果存在的话
-c, #检查csf更新但不更新
-u, #检查csf更新并更新,如果可以的话
-uf #强制更新csf
-x, #禁用csf和lfd
-e, #启用之前禁用的csf和lfd
-v, #显示csf版本
您可以通过这些选项方便快捷地控制和查看csf。所有的csf配置文件都在/etc/csf/ 里 ,包括:
csf.conf - 主要配置文件,它有说明每个选项用途的注释
csf.allow - 防火墙始终允许通过的IP和CIDR地址列表
csf.deny - 防火墙始终不允许通过的IP和CIDR地址列表
csf.ignore- lfd应忽略,并且发现后不阻止的IP和CIDR地址列表
csf.*ignore- 列出了lfd应忽略的文件,用户,IP地址的各种文件。具体参见每个文件 。
如果修改上述任何文件,您要重新启动csf才能生效。如果您使用命令行选项添加或拒绝 IP地址,csf会自动生效。
csf.allow 和csf.deny都可以在列出的IP地址后做评论。该评论必须和IP地址在同一行,否则csf.deny的IP轮换会将其删除。
如果直接编辑the csf.allow或csf.deny 文件,不论是从shell或WHM UI,您都要在IP地 址与评论之间插入。
实例
[root@localhost ~]# csf -ta 11.22.33.44 #添加一个IP至临时允许IP列表
[root@localhost ~]# csf -d 11.22.33.44 #删除一个IP
[root@localhost ~]# csf -r #重启
[root@localhost ~]# csf -x #禁用csf和lfd
[root@localhost ~]# csf -e #启用csf和lfd
