CSF Configserver Firewall
CSF: ConfigServer Security & Firewall
Guía básica para usuarios no técnicos
¿Qué es CSF?
CSF (ConfigServer Security & Firewall) es un cortafuegos avanzado para servidores Linux.
Funciona como una capa de protección que filtra conexiones, limita ataques y bloquea IPs maliciosas.
Componentes clave
- iptables / nftables: motor de filtrado de red en Linux
- LFD (Login Failure Daemon): demonio que vigila logs y detecta intentos de acceso fallidos
- Integra con paneles como DirectAdmin, cPanel, Plesk
¿Cómo protege el servidor?
- Filtrado de puertos
- Solo permite los puertos necesarios (ej. 22, 80, 443, 2222).
- Detección de fuerza bruta (LFD)
- Cuenta intentos fallidos de SSH, FTP, correo, panel, etc.
- Si se supera el límite (p. ej. 10 fallos en 5 min), la IP se bloquea.
- Alertas por e-mail
- Envía notificaciones cuando bloquea o detecta actividad sospechosa.
- Rate limiting
- Limita conexiones simultáneas y velocidad (DoS ligero).
- Listas blanca / negra
- IPs de confianza (
csf.allow) - IPs bloqueadas permanentemente (
csf.deny)
- IPs de confianza (
Archivos y comandos principales
| Archivo / Comando | Descripción |
|---|---|
/etc/csf/csf.conf |
Archivo de configuración principal |
/etc/csf/csf.allow |
Lista blanca de IPs (permitir) |
/etc/csf/csf.deny |
Lista negra de IPs (bloquear) |
csf -r |
Reiniciar CSF (aplica cambios) |
csf -d IP |
Bloquear IP manualmente |
csf -a IP |
Añadir IP a lista blanca |
csf -g IP |
Buscar IP en todas las listas |
Parámetros importantes (csf.conf)
| Opción | Qué hace | Valor recomendado |
|---|---|---|
TCP_IN |
Puertos TCP permitidos de entrada | 22,80,443,2222 |
TCP_OUT |
Puertos TCP permitidos de salida | 80,443,53 |
LF_TRIGGER |
Nº de bloqueos antes de alerta | 5 |
LF_SSHD |
Intentos fallidos SSH antes de bloqueo | 5 |
CONNLIMIT |
Límite de conexiones simultáneas por IP | 80;20 (20 conexiones al puerto 80) |
Nota: Ajustar estos valores según tus servicios y nivel de riesgo.
Relación CSF ↔️ BFM (DirectAdmin)
- BFM detecta intentos fallidos en DirectAdmin y puede pasar la IP a CSF.
- CSF/LFD bloquea a nivel de red, impidiendo cualquier conexión desde esa IP.
Buenas prácticas
- Mantener CSF y el sistema actualizados
- Revisar las alertas: identificar falsos positivos o ataques reales
- No abrir puertos innecesarios
- Usar listas blanca para IPs fijas (oficina, hogar)
- Verificar logs de LFD:
/var/log/lfd.log
Resumen
CSF + LFD actúan como muralla de defensa:
- Bloquean puertos no usados
- Detienen ataques de fuerza bruta
- Alertan al admin en tiempo real
- Se integran con DirectAdmin para protección adicional
Configurado correctamente, CSF mantiene el servidor seguro con un impacto mínimo en los usuarios legítimos.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.