Rise Company
13-03-2026, 15:02
فايروول CSF Firewall يمنع اتصال النسخ الاحتياطي SFTP رغم وجود الـ IP في Whitelist
المشكلة:
في بعض السيرفرات التي تعمل بـ CSF Firewall يفشل اتصال النسخ الاحتياطي عبر SFTP داخل WHM وتظهر أخطاء مثل Connection refused أو يفشل الـ Validation رغم أن عنوان الـ IP الخاص بسيرفر التخزين مضاف داخل csf.allow أو الـ Whitelist. والغريب أن المشكلة قد تختفي مؤقتًا بعد عمل csf -r ثم تعود مرة أخرى، مما يجعل البعض يظن أن السبب خلل عشوائي في CSF أو أن مجرد وضع الـ IP في Whitelist يكفي للسماح الكامل بالاتصال.
سبب المشكلة:
السبب الحقيقي أن إضافة الـ IP داخل csf.allow لا تكفي وحدها إذا كان المنفذ المطلوب نفسه غير مسموح به في الخروج من السيرفر. في حالة النسخ الاحتياطي عبر SFTP فإن المنفذ المستخدم غالبًا هو 22، وإذا لم يكن هذا المنفذ موجودًا داخل TCP_OUT فإن CSF يمنع إنشاء اتصال جديد إليه حتى لو كان عنوان الـ IP نفسه موجودًا في allow. لذلك قد يعمل الاتصال أحيانًا بعد إعادة تحميل CSF بسبب إعادة ترتيب القواعد أو تصفير حالة اتصال قديمة، لكن أصل المشكلة يبقى موجودًا لأن منفذ 22 غير مسموح به أساسًا في الخروج. كذلك وجود USE_CONNTRACK = "1" لا يعني فتح البورت، بل معناه فقط تتبع حالة الاتصالات مثل NEW و ESTABLISHED و RELATED، أي أنه يساعد في متابعة الاتصال بعد بدئه بشكل صحيح، لكنه لا يسمح بإنشاء اتصال جديد على منفذ غير موجود في TCP_OUT.
حل المشكلة:
الحل الصحيح هو إضافة المنفذ 22 إلى TCP_OUT داخل ملف إعدادات CSF لأن هذا هو المنفذ الافتراضي لـ SFTP. يتم فتح الملف /etc/csf/csf.conf ثم تعديل سطر TCP_OUT ليشمل المنفذ 22 مع باقي المنافذ المسموح بها، وبعدها يتم تنفيذ csf -r لإعادة تحميل القواعد. بعد ذلك يتم اختبار الاتصال مرة أخرى من السيرفر المرسل باستخدام أمر مثل nc -zv IP 22 ثم إعادة تجربة Validate Destination من داخل WHM. وإذا كنت تستخدم SSH/SFTP على بورت مختلف في السيرفر البعيد فيجب إضافة هذا البورت بدل 22. الخلاصة أن الـ Whitelist في CSF يسمح بالعنوان، لكن السماح الفعلي بخروج الاتصال يحتاج أيضًا أن يكون المنفذ نفسه موجودًا داخل TCP_OUT، وإلا سيستمر الفشل بشكل متكرر حتى لو نجح أحيانًا بعد إعادة تشغيل الفايروول.
شاهد ايضا
فايروول CSF Firewall وضع ايبيهات فى csf.ignore لتجنب عمل بلوك لها Whitelist (https://www.rise.company/forum/showthread.php/96302-%D9%81%D8%A7%D9%8A%D8%B1%D9%88%D9%88%D9%84-CSF-Firewall-%D9%88%D8%B6%D8%B9-%D8%A7%D9%8A%D8%A8%D9%8A%D9%87%D8%A7%D8%AA-%D9%81%D9%89-csf-ignore-%D9%84%D8%AA%D8%AC%D9%86%D8%A8-%D8%B9%D9%85%D9%84-%D8%A8%D9%84%D9%88%D9%83-%D9%84%D9%87%D8%A7-Whitelist)
المشكلة:
في بعض السيرفرات التي تعمل بـ CSF Firewall يفشل اتصال النسخ الاحتياطي عبر SFTP داخل WHM وتظهر أخطاء مثل Connection refused أو يفشل الـ Validation رغم أن عنوان الـ IP الخاص بسيرفر التخزين مضاف داخل csf.allow أو الـ Whitelist. والغريب أن المشكلة قد تختفي مؤقتًا بعد عمل csf -r ثم تعود مرة أخرى، مما يجعل البعض يظن أن السبب خلل عشوائي في CSF أو أن مجرد وضع الـ IP في Whitelist يكفي للسماح الكامل بالاتصال.
سبب المشكلة:
السبب الحقيقي أن إضافة الـ IP داخل csf.allow لا تكفي وحدها إذا كان المنفذ المطلوب نفسه غير مسموح به في الخروج من السيرفر. في حالة النسخ الاحتياطي عبر SFTP فإن المنفذ المستخدم غالبًا هو 22، وإذا لم يكن هذا المنفذ موجودًا داخل TCP_OUT فإن CSF يمنع إنشاء اتصال جديد إليه حتى لو كان عنوان الـ IP نفسه موجودًا في allow. لذلك قد يعمل الاتصال أحيانًا بعد إعادة تحميل CSF بسبب إعادة ترتيب القواعد أو تصفير حالة اتصال قديمة، لكن أصل المشكلة يبقى موجودًا لأن منفذ 22 غير مسموح به أساسًا في الخروج. كذلك وجود USE_CONNTRACK = "1" لا يعني فتح البورت، بل معناه فقط تتبع حالة الاتصالات مثل NEW و ESTABLISHED و RELATED، أي أنه يساعد في متابعة الاتصال بعد بدئه بشكل صحيح، لكنه لا يسمح بإنشاء اتصال جديد على منفذ غير موجود في TCP_OUT.
حل المشكلة:
الحل الصحيح هو إضافة المنفذ 22 إلى TCP_OUT داخل ملف إعدادات CSF لأن هذا هو المنفذ الافتراضي لـ SFTP. يتم فتح الملف /etc/csf/csf.conf ثم تعديل سطر TCP_OUT ليشمل المنفذ 22 مع باقي المنافذ المسموح بها، وبعدها يتم تنفيذ csf -r لإعادة تحميل القواعد. بعد ذلك يتم اختبار الاتصال مرة أخرى من السيرفر المرسل باستخدام أمر مثل nc -zv IP 22 ثم إعادة تجربة Validate Destination من داخل WHM. وإذا كنت تستخدم SSH/SFTP على بورت مختلف في السيرفر البعيد فيجب إضافة هذا البورت بدل 22. الخلاصة أن الـ Whitelist في CSF يسمح بالعنوان، لكن السماح الفعلي بخروج الاتصال يحتاج أيضًا أن يكون المنفذ نفسه موجودًا داخل TCP_OUT، وإلا سيستمر الفشل بشكل متكرر حتى لو نجح أحيانًا بعد إعادة تشغيل الفايروول.
شاهد ايضا
فايروول CSF Firewall وضع ايبيهات فى csf.ignore لتجنب عمل بلوك لها Whitelist (https://www.rise.company/forum/showthread.php/96302-%D9%81%D8%A7%D9%8A%D8%B1%D9%88%D9%88%D9%84-CSF-Firewall-%D9%88%D8%B6%D8%B9-%D8%A7%D9%8A%D8%A8%D9%8A%D9%87%D8%A7%D8%AA-%D9%81%D9%89-csf-ignore-%D9%84%D8%AA%D8%AC%D9%86%D8%A8-%D8%B9%D9%85%D9%84-%D8%A8%D9%84%D9%88%D9%83-%D9%84%D9%87%D8%A7-Whitelist)