CỘNG ĐỒNG CÔNG NGHỆ THÔNG TIN VIỆT NAM

Cách chặn lưu lượng traffic theo quốc gia trong Tường lửa CSF

0 Thành viên và 1 Khách đang xem chủ đề.

Đang duyệt NetworkEngineer

  • Administrator
  • Sr. Member
  • *****
    • Bài viết: 469
    • Số Lần: +1/-0
Một trong những tính năng được yêu cầu nhiều nhất trên máy chủ cPanel là khả năng quản lý và lọc lưu lượng ở cấp quốc gia. Với plugin ConfigServer Firewall (CSF), bạn có thể thực hiện chính xác điều đó.

Lọc cấp quốc gia trong CSF sử dụng cơ sở dữ liệu Maxmind GeoLite Country để thu được phạm vi CIDR (Classless Inter-Domain Routing) cho các quốc gia cụ thể. Mỗi phạm vi CIDR bao gồm tất cả các địa chỉ IP được gán cho quốc gia đó.

Có một số lý do khiến quản trị viên máy chủ có thể muốn chặn lưu lượng truy cập từ một quốc gia cụ thể, với việc giảm băng thông, giảm thiểu rủi ro bảo mật và đảm bảo rằng nội dung của một trang web chỉ có thể xem được ở những vị trí địa lý được phép trong số những địa điểm phổ biến nhất . Tuy nhiên, có một số yếu tố quan trọng cần xem xét trước khi chọn lọc lưu lượng ở cấp quốc gia:

    Một tỷ lệ nhỏ lưu lượng truy cập không mong muốn vẫn có thể vượt qua và một tỷ lệ nhỏ lưu lượng truy cập mong muốn có thể bị chặn, bởi vì:
        Danh sách phạm vi CIDR được sử dụng cho các khối cấp quốc gia không chính xác 100%.
        Một số Nhà cung cấp dịch vụ Internet và dịch vụ web sử dụng địa chỉ IP non-geographic cho khách hàng của họ.
        Dịch vụ proxy và mạng riêng ảo có thể được sử dụng để che giấu vị trí địa lý thực sự của khách truy cập.
    Lọc cấp quốc gia chỉ áp dụng cho các kết nối đến.Outbound traffic không bị ảnh hưởng.
    Sử dụng lọc cấp quốc gia sẽ tác động tiêu cực đến hiệu suất và bạn sẽ thấy thời gian phản hồi chậm hơn trên các trang web của mình. Điều này là do kích thước của danh sách phạm vi CIDR (danh sách cho Hoa Kỳ là 621K ở dạng văn bản thuần túy và chứa hơn 37.000 mục nhập) và thực tế là tường lửa phải kiểm tra từng địa chỉ IP đến so với danh sách đã chọn.

Kiểm tra Pre-Flight

Hãy sao lưu cấu hình tường lửa hiện tại trước khi thực hiện bất kỳ thay đổi nào.
Bước # 1: Mở Plugin Tường lửa trong WHM

    Trong Trình quản lý Webhost, xác định vị trí và chọn ConfigServer Security & Firewall  trong phần Trình cắm trong menu bên trái. Bạn cũng có thể bắt đầu nhập vào mạng lửa vào trường tìm kiếm ở góc trên bên trái để thu hẹp các tùy chọn.
    Nhấp vào nút Firewall Configuration để mở tệp cấu hình.
    Chỉnh sửa tập tin cấu hình CSF

Bước # 2: Từ chối truy cập theo mã quốc gia

CSF không khuyến nghị sử dụng cách chặn theo cấp quốc gia trên bất kỳ VPS hoặc máy chủ nhỏ nào trừ khi phạm vi CIDR cho quốc gia được chọn là rất nhỏ. Việc sử dụng chặn theo quốc gia phạm vi lớn trên một máy chủ nhỏ hoặc VPS có thể làm chậm máy chủ đến mức không thể truy cập được.

Nếu bạn đang sử dụng VPS hoặc có bất kỳ câu hỏi nào về việc máy chủ của bạn có tài nguyên để triển khai hiệu quả khối cấp quốc gia hay không, bạn có thể thấy thực tế hơn khi cho phép hoặc từ chối lưu lượng truy cập theo mã quốc gia đến các cổng cụ thể mà chúng tôi đề cập đến Phần ba và bốn.

    Trên trang Firewall Configuration, cuộn xuống phần Country Code Lists and Settings.
   
    Sử dụng trường CC_DENY để chặn theo mã quốc gia:
        Trường CC_DENY chấp nhận mã quốc gia gồm hai chữ cái, chẳng hạn như kiểu chữ US cho Hoa Kỳ, kiểu GB cho Vương quốc Anh và DE cho Đức.
        Nhiều quốc gia có thể được phân tách bằng dấu phẩy mà không có khoảng trắng ở giữa, chẳng hạn như Hoa Kỳ, GB, DE để từ chối truy cập vào Hoa Kỳ, Vương quốc Anh và Đức.
        Bạn có thể tìm thấy danh sách mã ISO 3166-1 alpha-2 tại You are not allowed to view links. Register or Login
        KHÔNG sử dụng trường CC_ALLOW để cho phép lưu lượng truy cập theo mã quốc gia. CC_ALLOW mở tường lửa cho tất cả lưu lượng truy cập trên tất cả các cổng từ các quốc gia được liệt kê, bỏ qua mọi quy tắc về cổng và giao thức tại chỗ.

Lưu ý: Ít nhất một trong các máy chủ của ConfigServer ở Đức; chặn quốc gia đó có thể ngăn CSF không thể cập nhật và hiển thị lỗi trên trang Tường lửa & Bảo mật Cấu hình Máy chủ trong WHM.

Bước # 3: Lưu các thay đổi của bạn và khởi động lại tường lửa

    Cuộn xuống dưới cùng của trang Cấu hình Tường lửa và nhấp vào nút Thay đổi .
    Trên màn hình tiếp theo, nhấp vào nút Khởi động lại csf + lfd để khởi động lại tường lửa với các cài đặt mới.
    Khởi động lại csf và lfd để các cài đặt mới có hiệu lực