CSF (ConfigServer Security & Firewall) Kurulum ve Yapılandırma Rehberi

Bir Linux sunucu yöneticisinin sık karşılaştığı iki tablo vardır: ya brute-force saldırıları log dosyalarını doldurmaktadır ya da SSH erişimi üretim ortamında gereğinden fazla açıktır. CSF (ConfigServer Security & Firewall), bu iki sorunu aynı anda çözmek için tasarlanmış, iptables/nftables üstünde çalışan yüksek seviyeli bir güvenlik katmanıdır. cPanel WHM ile sıfır konfigürasyonla entegre olur, Login Failure Daemon (LFD) bileşeni ile başarısız oturum açma girişimlerini gerçek zamanlı izler ve tek bir komutla otomatik IP engelleme yapar.

Bu rehber, CSF 14.x sürümünü (2026) AlmaLinux 9, Debian 12 ve Ubuntu 22.04+ üzerinde sıfırdan kurmayı; temel ve ileri düzey yapılandırmayı; cPanel v122+ WHM eklenti arayüzünü; CloudFlare IP izin listesini ve olası false-positive sorunlarını kapsamaktadır.

Hedef kitle: VDS sunucu veya E5-V4 VDS paketinde root erişimine sahip sistem yöneticileri ve cPanel hosting ortamında WHM kullanan sunucu sahipleri.

---

CSF Nedir? iptables/nftables ile İlişkisi

CSF, doğrudan bir firewall değildir; iptables veya nftables kurallarını yöneten bir yönetim katmanıdır (wrapper). Kernel'in paket filtreleme altyapısını değiştirmez; bunun yerine okunabilir bir konfigürasyon dosyasından (csf.conf) kurallar üretir ve iptables/nftables'a yükler.

İki ana bileşeni vardır:

Bileşen	Görevi
CSF (ConfigServer Security & Firewall)	IP tabanlı izin/engelleme kuralları, port yönetimi, flood ve tarama koruması
LFD (Login Failure Daemon)	Sistem log dosyalarını izler; belirlenen hata eşiğini aşan IP'leri otomatik engeller

LFD; SSH, FTP, cPanel, SMTP, IMAP, POP3 gibi servislerin log dosyalarını daemon olarak izler. Yapılandırılan zaman aralığında belirlenen başarısız deneme sayısını aşan IP, otomatik olarak CSF engellerine eklenir.

CSF vs UFW vs firewalld Karşılaştırması

Özellik	CSF	UFW	firewalld
Arayüz	CLI + cPanel WHM GUI	CLI	CLI + cockpit GUI
cPanel entegrasyonu	Yerleşik WHM eklentisi	Yok	Yok
Login Failure Daemon	Dahili (LFD)	Yok	Yok
Port knock	Yerleşik	Üçüncü taraf araç	Üçüncü taraf araç
SYN/ping flood koruma	Dahili ayar	Iptables kuralı gerekli	Firewalld zone gerekli
IP izin/engel listesi	csf.allow / csf.deny	Profil tabanlı	Zone tabanlı
Kullanım kolaylığı	Orta (cPanel'de kolay)	Yüksek	Orta
IPv6 desteği	Evet (ip6tables)	Evet	Evet
Ücretsiz mi?	Evet (Community)	Evet	Evet

Özet: UFW gündelik kullanım için daha basittir; firewalld enterprise red hat ortamları için uygundur. cPanel/WHM kullanan her sunucu için CSF en doğal seçimdir çünkü tek kuruluşla hem CSF hem LFD hem de WHM arayüzü aktif hale gelir.

---

Sistem Gereksinimleri

CSF 14.x aşağıdaki ortamlarda resmi olarak desteklenmektedir:

• AlmaLinux 9 / CentOS Stream 9
• Debian 12 (Bookworm)
• Ubuntu 22.04 LTS / Ubuntu 24.04 LTS
• cPanel v122+ (WHM eklentisi için)
• Perl 5.x (CSF Perl tabanlıdır; genellikle varsayılan kurulumda gelir)
• iptables veya nftables (hybrid mod CSF 14.x'te desteklenir)

Perl kurulu mu kontrol:

perl --version
# Yoksa:
# AlmaLinux/CentOS: sudo dnf install perl -y
# Debian/Ubuntu: sudo apt install perl libwww-perl -y

---

Kurulum

1. İndirme ve Kurulum

# Çalışma dizinine geç
cd /usr/src

# Resmi kaynaktan indir
wget https://download.configserver.com/csf.tgz

# Aç
tar -xzf csf.tgz
cd csf

# Kurulum scriptini çalıştır (root olarak)
sh install.sh

Kurulum scripti otomatik olarak şunları yapar:

• Bağımlılıkları (Perl modülleri, iptables araçları) kontrol eder
• CSF ve LFD servislerini kurar
• /etc/csf/ dizinini oluşturur
• systemd servisleri (csf ve lfd) etkinleştirir

Kurulumun başarılı olduğunu doğrula:

csf -v
# Örnek: csf: v14.xx (linux)

2. cPanel WHM Entegrasyonu

cPanel kurulu bir sunucuda CSF kurulumundan sonra otomatik olarak WHM eklentisi yüklenir. WHM'de "ConfigServer Security & Firewall" menüsünü şu yoldan bulabilirsiniz:

WHM → Eklentiler → ConfigServer Security & Firewall

WHM arayüzünden yapabileceğiniz işlemler:

• csf.conf dosyasını görsel editörle düzenlemek
• IP allow/deny eklemek ve kaldırmak
• LFD loglarını izlemek
• CSF'yi yeniden başlatmak
• Güvenlik raporunu görüntülemek

Not: WHM arayüzü CLI komutlarının görsel karşılığıdır; arka planda aynı yapılandırma dosyalarını günceller.

---

csf.conf Temel Ayarları

Ana konfigürasyon dosyası /etc/csf/csf.conf içindedir. Her değişiklikten sonra csf -r (restart) ile kurallar yeniden yüklenir.

TESTING Modu — Önce Bu!

Kurulumdan sonra CSF TESTING=1 modunda gelir. Bu modda LFD çalışmaz ve kurallar 5 dakikada bir otomatik temizlenir; kendinizi kilitlemenizi önler.

Ayarları yapıp test ettikten sonra TESTING'i kapatın:

# /etc/csf/csf.conf içinde:
TESTING = "0"

Port Ayarları

CSF gelen/giden TCP ve UDP portlarını virgülle ayrılmış liste şeklinde kabul eder:

# Gelen TCP portları (izin ver)
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096,8443"

# Giden TCP portları (izin ver)
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

# Gelen UDP portları
UDP_IN = "20,21,53"

# Giden UDP portları
UDP_OUT = "20,21,53,113,123"

cPanel sunucusu için önerilen portlar:

• 2082/2083 → cPanel HTTP/HTTPS
• 2086/2087 → WHM HTTP/HTTPS
• 2095/2096 → Webmail HTTP/HTTPS
• 8443 → cPanel alternatif HTTPS

ICMP Ayarları

Ping trafiğini tamamen kapatmak yerine hız sınırlamak daha dengeli bir yaklaşımdır:

ICMP_IN = "1"           # Gelen ping'e izin ver
ICMP_IN_LIMIT = "1/s"   # Saniyede maksimum 1 ping

---

LFD Yapılandırması

LFD (Login Failure Daemon), /etc/csf/csf.conf içindeki LF_ önekli ayarlarla yapılandırılır.

Temel LFD Parametreleri

# Kaç başarısız girişimde engelle
LF_TRIGGER = "10"

# Başarısız girişimlerin sayılacağı zaman aralığı (saniye)
LF_INTERVAL = "3600"

# Kaç kez engellendikten sonra kalıcı engelle (0 = hiç kalıcı engelleme)
LF_BLOCKCOUNT = "3"

# Engelleme süresi (saniye) — 0 = kalıcı
LF_PERM = "86400"

# Engelleme raporu gönder
BLOCK_REPORTING = "1"

Pratik öneri: LF_INTERVAL=3600 (1 saat) içinde LF_TRIGGER=10 başarısız girişim → engelle. LF_BLOCKCOUNT=3 ile 3 kez engellenen IP kalıcı bloklanır.

Servis Bazlı Tetikleyiciler

LFD, her servis için ayrı tetikleyici sayısı ayarlamanıza olanak tanır:

LF_SSHD = "10"      # SSH başarısız girişim limiti
LF_FTPD = "20"      # FTP başarısız girişim limiti
LF_SMTPAUTH = "20"  # SMTP AUTH başarısız girişim limiti
LF_POP3D = "30"     # POP3 başarısız girişim limiti
LF_IMAPD = "30"     # IMAP başarısız girişim limiti
LF_CPANEL = "15"    # cPanel başarısız girişim limiti
LF_MODSEC = "10"    # ModSecurity kuralı ihlali limiti

---

IP Yönetimi

CSF'nin en çok kullanılan CLI komutları:

# IP'ye izin ver (kalıcı: csf.allow'a ekler)
csf -a 203.0.113.10 "Ofis IP"

# IP'yi engelle (kalıcı: csf.deny'a ekler)
csf -d 198.51.100.5 "Spam kaynağı"

# IP engelini kaldır
csf -dr 198.51.100.5

# IP izni kaldır
csf -ar 203.0.113.10

# Aktif engel listesi
csf -l

# Kuralları yeniden yükle (config değişikliği sonrası)
csf -r

# Tüm kuralları temizle (DİKKAT: sunucu açık kalır)
csf -f

# CSF durumu
csf -s

csf.allow ve csf.deny Dosyaları

/etc/csf/csf.allow ve /etc/csf/csf.deny düz metin dosyalardır; her satıra bir IP veya CIDR bloğu yazılır:

# /etc/csf/csf.allow
203.0.113.0/24    # Ofis ağı
198.51.100.10     # Monitöring sunucusu

Dosyayı düzenledikten sonra csf -r ile yeniden yükleyin.

---

Port Knock ile SSH Güvenliği

Port Knocking, SSH portunu dışarıya kapalı tutup önceden belirlenmiş port sırasını "çalan" bağlantılara SSH'ı geçici açar. CSF'de PORTKNOCKING parametresiyle etkinleştirilir:

# /etc/csf/csf.conf
PORTKNOCKING = "1"

# Port sırası: tcp/5000, tcp/6000, tcp/7000 ardından tcp/22 aç (30 saniye)
PORTKNOCKING_ALERT = "0"
# csf.pignore veya csf.conf PORTKNOCKING_SEQUENCE satırına sıra yazılır

Gerçek kullanımda port sırasını knock komutu ile tetiklersiniz:

# İstemci tarafında (knock aracı):
knock sunucu-ip 5000 6000 7000
ssh -p 22 kullanici@sunucu-ip

Önemli: Port knocking güçlü ama karmaşık bir yöntemdir. Otomasyon script'lerine entegre etmeden önce test ortamında deneyin.

---

Flood ve Port Tarama Koruması

SYN Flood Koruması

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"   # Saniyede maksimum SYN paketi
SYNFLOOD_BURST = "150"    # Ani burst izni

Ping Flood Koruması

ICMP_IN = "1"
ICMP_IN_LIMIT = "1/s"

Bağlantı Takibi (CT — Connection Tracking)

CT_LIMIT aynı IP'den eş zamanlı bağlantı sayısını sınırlar; DDoS ve web crawler saldırılarına karşı etkilidir:

CT_LIMIT = "150"          # IP başına maksimum eş zamanlı bağlantı
CT_INTERVAL = "30"        # Kontrol aralığı (saniye)
CT_BLOCK_TIME = "1800"    # Engelleme süresi (saniye)
CT_PORTS = "80,443"       # Hangi portlarda izle

Port Tarama (PS — Port Scan) Koruması

PS_INTERVAL = "300"       # Tarama kontrol aralığı (saniye)
PS_LIMIT = "15"           # Bu sürede kaç tarama yapılınca engelle
PS_BLOCK_TIME = "3600"    # Engelleme süresi
PS_PERMANENT = "0"        # 1 = kalıcı engelle

---

E-posta Bildirimleri

LFD, engelleme ve güvenlik olaylarını e-posta ile bildirebilir:

LF_ALERT_TO = "admin@siteniz.com"
LF_ALERT_FROM = "csf@sunucu.siteniz.com"

Hangi olaylarda bildirim geleceğini ayrı ayrı açıp kapatabilirsiniz:

LF_EMAIL_ALERT = "1"       # Genel LFD engelleme bildirimi
BLOCK_REPORT = "1"         # Engelleme raporu
CONNLIMIT_ALERT = "1"      # Bağlantı limiti aşıldığında
PT_USERMEM_ALERT = "1"     # Kullanıcı bellek limiti (cPanel)
PT_USERPROC_ALERT = "1"    # Kullanıcı process limiti

---

CloudFlare IP Aralıklarını İzin Listesine Ekleme

Siteniz CloudFlare CDN üzerinden servis ediliyorsa CSF, CloudFlare'in proxy IP'lerini gerçek ziyaretçi IP'si sanabilir ve yanlışlıkla engelleyebilir. CloudFlare IP aralıklarını csf.allow'a ekleyin:

# /etc/csf/csf.allow — CloudFlare IPv4 (Mayıs 2026 güncel liste)
173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22

# CloudFlare IPv6
2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32

Dosyayı kaydedip csf -r çalıştırın.

Alternatif — otomatik güncelleme: /etc/csf/csf.allow yerine /etc/csf/csf.cloudflare adlı özel dosyayı kullanan CSF eklentileri mevcuttur; CloudFlare IP listesi değiştiğinde otomatik güncelleme sağlar.

---

Yaygın False-Positive Sorunları

WHM Health Check

WHM, kendi sunucusuna periyodik HTTP health check yapar. Eğer WHM'nin kullandığı IP CSF engellerine girerse WHM hata verebilir. Çözüm:

# /etc/csf/csf.ignore'a ekle veya csf.allow'a localhost
127.0.0.1
::1

Mail Queue (cPanel/Exim)

Exim mail queue'su yoğun sunucularda kısa sürede çok sayıda bağlantı açabilir ve CT_LIMIT'e takılabilir. CT_PORTS listesine port 25'i eklememek veya Exim IP'sini muaf tutmak gerekir:

# csf.conf içinde 25 portunu CT takibinden çıkar
CT_PORTS = "80,443"   # 25'i listeye alma

Cron Görevleri

Gece yarısı çalışan ağır cron görevleri (yedekleme, veritabanı optimizasyonu) kısa sürede çok bağlantı açabilir ve SYN flood tetikleyebilir. Cron'un çalışacağı IP'yi csf.allow'a ekleyin veya SYNFLOOD_BURST değerini geçici artırın.

Imunify360 Çakışması

CSF ve Imunify360 aynı sunucuda çalışabilir ancak ikisi birden aktif iptables kuralları yönetmeye çalışırsa çakışma olabilir. Genel uygulama: Imunify360 kuruluysa CSF'yi devre dışı bırakın veya Imunify360 portalından CSF ile "entegre mod"u etkinleştirin. Buyukweb cPanel hosting ortamlarında Imunify360 standart olarak kurulur; bu ortamlarda CSF'yi ayrıca kurmak gerekli değildir.

---

CSF Güncelleme

CSF, kendi güncelleme mekanizmasına sahiptir:

csf -u

Bu komut ConfigServer sunucusundan en güncel sürümü indirir ve yerinde günceller. Güncellemeden önce mevcut sürümü kontrol edin:

csf -v

WHM arayüzünden de güncelleme yapılabilir: WHM → ConfigServer Security & Firewall → Check for Update.

---

CSF Kaldırma

CSF'yi tamamen kaldırmak için:

sh /etc/csf/uninstall.sh

Bu script; CSF ve LFD servislerini durdurur, tüm iptables kurallarını temizler, /etc/csf/ dizinini siler ve WHM eklentisini kaldırır. Kaldırma işlemi sonrası aktif iptables kuralı kalmaz — sunucu port 22 dahil tamamen açık hale gelir; hemen alternatif bir firewall yapılandırın.

---

Sık Sorulan Sorular (FAQ)

UFW ile birlikte kullanılır mı?

Hayır, kullanılmamalıdır. CSF ve UFW ikisi de iptables kurallarını yönetir. Aynı anda çalıştırılırsa kurallar birbirinin üzerine yazabilir, beklenmedik engelleme veya açık kapı sorunları çıkabilir. Bir sunucuda ya CSF ya UFW tercih edilmelidir; cPanel'li sunucularda CSF uygundur.

Imunify360 ile çakışır mı?

Potansiyel çakışma vardır. Buyukweb cPanel hosting ortamlarında Imunify360 aktiftir; bu paketlerde ek CSF kurmanıza gerek yoktur, Imunify360 güvenlik katmanını sağlar. VDS sunucu veya sanal sunucu üzerinde kendi cPanel'inizi yönetiyorsanız ikisinden birini tercih edin.

Root'u brute-force saldırıdan korur mu?

Evet, doğrudan korur. LFD, SSH log dosyasını (/var/log/secure veya /var/log/auth.log) izler; belirlenen zaman aralığında belirlenen sayıda başarısız girişim yapan IP otomatik engellenir. Buna ek olarak SSH'ı 22 numaralı varsayılan porttan başka bir porta taşımak ve PermitRootLogin no yapmak güvenliği daha da artırır.

CSF ücretsiz mi?

Evet, ConfigServer Security & Firewall ücretsiz ve açık kaynaklıdır. Ücretli eklentisi CXS (ConfigServer eXploit Scanner) ayrı bir üründür; CSF için ücret yoktur.

IPv6 destekler mi?

Evet. CSF 14.x, ip6tables aracılığıyla IPv6'yı destekler. csf.conf içinde IPV6 = "1" ayarı açık olduğunda IPv6 kuralları otomatik oluşturulur. /etc/csf/csf.allow ve csf.deny dosyalarına hem IPv4 hem IPv6 adresleri eklenebilir.

CSF, port tarama saldırılarına karşı koruyor mu?

Evet, Port Scan (PS) koruması dahilidir. PS_INTERVAL süresinde PS_LIMIT kadar port tarayan IP otomatik engellenir. Ayrıca CONNLIMIT (eş zamanlı bağlantı sınırı) ve CT_LIMIT (connection tracking sınırı) kombinasyonu ağır tarama araçlarını (nmap, masscan) etkili biçimde engeller.

"TESTING = 1" modunda firewall çalışmıyor gibi görünüyor, neden?

TESTING modunda kurallar her 5 dakikada bir otomatik temizlenir ve LFD devre dışıdır. Bu kasıtlı bir güvenlik önlemidir: yanlış konfigürasyon nedeniyle kendinizi sunucudan kilitlemeyin diye. Ayarlarınızı tamamlayıp test ettikten sonra csf.conf'ta TESTING = "0" yapıp csf -r çalıştırın.

---

Buyukweb VDS ve cPanel Kullanıcıları İçin Özet

CSF, özellikle kendi VDS'ini yöneten kullanıcılar için kritik bir güvenlik katmanıdır. Sunucunuzda cPanel kuruluysa WHM arayüzü sayesinde hiç komut satırı kullanmadan temel güvenlik politikalarını uygulayabilirsiniz; brute-force koruması, port yönetimi ve IP engelleme birkaç tıklamayla yapılır.

Buyukweb E5-V4 VDS ve VDS sunucu paketleri KVM sanallaştırma üzerinde AlmaLinux 9 veya Debian 12 ile teslim edilebilir; bu ortamlara CSF yukarıdaki adımlarla kolayca kurulur. cPanel hosting paketlerinde güvenlik Imunify360 ile sağlandığından CSF ayrıca kurulmaz.

İlgili hizmetler:

• cPanel Web Hosting — Paylaşımlı hosting, güvenlik Imunify360 ile sağlanır
• VDS Sunucu — Root erişimli sanal sunucu, CSF kurulumuna uygundur
• E5-V4 VDS — Xeon E5-V4 tabanlı NVMe SSD'li VDS paketleri
• Sanal Sunucu — VDS paket karşılaştırması ve teknik detaylar

Kurulum veya yapılandırma konusunda destek için 0850 302 60 70 numaralı teknik destek hattını arayabilir ya da iletişim sayfamızdan bilet açabilirsiniz.