和大部分iptables防火墙配置一样,csf是阻止所有连接然后只允许您想要的连接进出。在iptables里删除所有协议上进出服务器的全部连接,然后允许从已有的连接中进出流量,接着分别为TCP和UDP开放进出端口。这样可以精确地控制哪些流量可以进出服务器,并保护服务器免受恶性攻击。
尤其是可以通过IP地址限制防止未经授权访问网络守护进程,如果某服务受到威胁,该程序还可以阻止对网络守护进程的攻击,典型的例子就是某随机开放端口运行的黑客sshd守护进程。也许最重要的原因是帮助减轻root泄露的影响,通常对付这种攻击的唯一方法是打开黑客访问的服务器的守护进程。虽然这样不能阻止root泄露,但是它可以减慢该进程并足以引起您的注意进而做出反应。
端口过滤防火墙还可以在用户级别泄露发生以及黑客安装了DOS工具影响其他服务器时起作用。除了特定端口,阻止外向连接的防火墙可以帮助防止DOS攻击,并能让您在系统日志里立即看到。
csf的被设计成保持它的配置简单,但仍然具有足够的灵活性,让您选择适合服务器环境的选项。通常情况下,防火墙的脚本繁冗复杂,用户无法找到问题出在哪里,更别说轻松解决这些问题了。
使用iptables拒绝连接的内核日志记录,您需要确定内核日志记录守护进程(klogd) 已启动。通常情况下,VPS服务器的该进程是关闭的。您要查看/etc/init.d/syslog,并确保没有任何klogd行被注释掉。如果您修改文件,记得重新启动系统日志。