Khi IP bị chặn hoặc một dịch vụ trên VPS không truy cập được, nguyên nhân thường nằm ở firewall CSF. Đây là tình huống phổ biến với quản trị VPS Linux, đặc biệt khi dùng DirectAdmin hoặc cPanel. Bài viết này hướng dẫn cách allow IP và mở port trên firewall CSF bằng giao diện DirectAdmin và dòng lệnh SSH, đồng thời giải thích các cấu hình quan trọng như TCP_IN, TCP_OUT và csf.allow để tránh lỗi mất kết nối server.

Tường lửa CSF là gì?

ConfigServer Security & Firewall (hoặc còn được gọi chung là CSF) là một tường lửa miễn phí, tuy miễn phí nhưng cách sử dụng cũng vừa cơ bản vừa nâng cao dành cho các hệ điều hành Linux hoặc các VPS Linux. Ngoài các chức năng cơ bản của tường lửa – lọc gói tin – CSF còn bao gồm các tính năng bảo mật khác, chẳng hạn như phát hiện login/intrusion/flood. CSF còn tích hợp UI (giao diện người dùng) cho cPanelDirectAdmin và Webmin.

CSF có thể nhận ra nhiều cuộc tấn công, chẳng hạn như đăng nhập sai qua ssh nhiều lần, kết nối sai port đến VPS, scan port, SYN floods, và đăng nhập brute force attacks vào nhiều dịch vụ. Nó được cấu hình để tạm thời chặn (hoặc vĩnh viễn) các máy khách bị phát hiện đang tấn công VPS hoặc máy chủ của bạn.

Đây chính là lý do các bạn gặp tình trạng bị chặn truy cập VPS của mình. Sau đây BKNS sẽ hướng dẫn các bạn allow IP, Port trên firewall CSF qua giao diện của DirectAdmin

Lưu ý: Nếu IP Wan của bạn đang bị chặn bới Firewall các bạn có thể dùng một mạng IP Wan khác chưa bị chặn để cấu hình.

Khi nào cần allow IP hoặc mở port trên firewall CSF?

Trong quá trình quản trị VPS Linux hoặc hosting server, việc allow IP hoặc mở port trên firewall CSF là thao tác rất thường gặp. Đây không chỉ là vấn đề cấu hình firewall mà còn liên quan trực tiếp đến khả năng truy cập server, vận hành website và bảo mật hệ thống.

Theo kinh nghiệm của tôi, phần lớn lỗi “không kết nối được” trên VPS Linux không đến từ ứng dụng mà đến từ firewall rule cấu hình chưa đúng. Đặc biệt khi sử dụng DirectAdmin, WHM/cPanel hoặc Docker, firewall CSF có thể tự động block IP hoặc chặn port nếu phát hiện truy cập bất thường.

Bạn cần allow IP khi firewall CSF đang chặn một địa chỉ IP cụ thể truy cập vào VPS hoặc dịch vụ trên server.

  • Không SSH được vào VPS dù đúng mật khẩu
  • IP WAN bị firewall CSF block tạm thời
  • Không truy cập được DirectAdmin hoặc WHM
  • Bị deny sau nhiều lần nhập sai mật khẩu SSH
  • Remote desktop hoặc remote database bị firewall từ chối
  • VPS báo timeout dù server vẫn online

Bạn cần mở port khi server chạy thêm dịch vụ mới hoặc ứng dụng cần giao tiếp mạng thông qua một cổng cụ thể.

  • Website chạy qua custom port không truy cập được
  • Mail server lỗi gửi hoặc nhận email
  • Remote MySQL không kết nối được
  • Docker container cần publish port riêng
  • NodeJS, Laravel Octane hoặc ứng dụng realtime dùng custom port
  • Redis, MongoDB hoặc API service cần external access
  • Game server hoặc streaming service cần UDP/TCP port riêng

Allow IP và mở port trên firewall CSF là hai thao tác cơ bản nhưng rất quan trọng khi quản trị VPS Linux hoặc hosting server. Nếu hiểu đúng cách hoạt động của firewall CSF, bạn sẽ dễ dàng xử lý các lỗi như không SSH được VPS, website timeout hoặc dịch vụ không truy cập được từ bên ngoài.

Cấu hình allow IP qua giao diện DirectAdmin

Bước 1: Các bạn đăng nhập DirecAdmin bằng chế độ admin để cấu hình Firewall.

Bước 2: Từ giao diện chính của DirectAdmin các bạn kéo xuống và chọn ConfigServer Security & Firewall.

Bước 3: Các bạn kéo xuống mục csf – Quick Actions sau đó nhập IP cho phép kết nối vào VPS ở dòng Allow IP address cuối cùng các bạn nhấn Quick Allow.

Kết quả sau khi nhấn Quick Allow.

Allow IP bằng dòng lệnh

Bước 1: Các bạn ssh vào VPS và đăng nhập bằng quyền root.

Bước 2: Các bạn gõ lệnh csf -a ip_cần_allow

4. Mở port trên DirectAdmin.

Bước 1: Các bạn đăng nhập DirecAdmin bằng chế độ admin để cấu hình Firewall.

Bước 2: Từ giao diện chính của DirectAdmin các bạn kéo xuống và chọn ConfigServer Security & Firewall.

Bước 3: Các bạn kéo xuống mục csf – Quick Actions rồi nhấn Firewall Configuration.

Bước 4: Các bạn kéo xuống mục IPv4 Port Settings,  ở đây nếu các bạn đơn giản chỉ muốn mở port thì chỉ cần nhập số port cách nhau bằng dấu phẩy hoặc 1 dải port bằng dấu hai chấm (port1:portN)  vào cả 4 ô bên dưới.

Bước 5: Các bạn kéo xuống cuối trang rồi nhấn nút Change  để lưu thay đổi.

Bước 6: Cuối cùng các bạn nhấn nút Restart csf+lfd để firewall chạy lệnh thực thi.

Lưu ý bảo mật khi allow IP và mở port trên firewall CSF

Firewall CSF là lớp bảo vệ quan trọng của VPS Linux trước các cuộc tấn công như brute force SSH, port scanning hoặc truy cập trái phép từ internet. Vì vậy, khi allow IP hoặc mở port trên firewall CSF, bạn cần cấu hình cẩn thận để tránh tạo lỗ hổng bảo mật cho server.

Để tăng bảo mật cho VPS Linux, bạn nên áp dụng các nguyên tắc cấu hình firewall CSF an toàn dưới đây:

  • Chỉ allow trusted IP để quản trị VPS hoặc truy cập database
  • Giới hạn remote MySQL theo IP cụ thể thay vì mở public toàn bộ internet
  • Dùng custom SSH port thay cho port mặc định 22
  • Disable root login nếu không thực sự cần thiết
  • Theo dõi log LFD thường xuyên để phát hiện brute force hoặc port scan
  • Chỉ mở các port thực sự cần thiết cho service đang hoạt động
  • Kiểm tra định kỳ TCP_IN, TCP_OUT, UDP_IN và UDP_OUT
  • Dùng SSH key authentication thay cho password login

Nhiều quản trị viên mới thường mở firewall quá rộng để “test nhanh” hoặc tránh lỗi kết nối. Tuy nhiên điều này có thể khiến VPS trở thành mục tiêu của bot scan hoặc malware tự động. Vì thế bạn không nên:

  • Mở toàn bộ port trên firewall CSF
  • Allow toàn bộ IP internet truy cập SSH
  • Public Redis hoặc MongoDB không giới hạn IP
  • Tắt hoàn toàn firewall CSF
  • Mở Docker API public
  • Giữ SSH port mặc định 22 trên VPS public
  • Dùng password yếu cho SSH hoặc database
  • Tắt LFD để tránh bị block IP

Allow IP và mở port trên firewall CSF là thao tác rất quan trọng khi quản trị VPS Linux hoặc DirectAdmin server. Nếu cấu hình đúng, firewall CSF sẽ giúp server vừa hoạt động ổn định vừa giảm nguy cơ brute force hoặc scan port.

Thịnh Văn Hạnh

Chào bạn, tôi là Thịnh Văn Hạnh, CEO và là người sáng lập nên BKNS. Với nhiều năm trong lĩnh vực công nghệ thông tin, hosting, server, tên miền... Tôi mong muốn mang đến cho các bạn những thông tin hữu ích nhất.

Bài viết liên quan

Chuyển hướng tên miền là gì

06/05/2026

29

Redirect Domain Là Gì? Hướng Dẫn Redirect Chuẩn SEO 

06/05/2026

28

Chuyển Nhượng Tên Miền Có Chịu Thuế Không? Quy định & Thủ tục
Hosting là nền tảng cốt lõi để vận hành website

06/05/2026

8437

Hosting là gì? Cẩm nang toàn tập về Web Hosting cho người mới
Chức năng cốt lõi của hệ thống tên miền DNS là làm người phiên dịch giữa tên miền dễ nhớ và địa chỉ IP

06/05/2026

44

Hệ thống tên miền DNS có chức năng gì? (Giải thích dễ hiểu)
Tên miền No-IP là gì?

06/05/2026

24

Tên miền NoIP là gì? Hướng dẫn đăng ký & cài đặt DDNS từ A-Z
Subnet mask là gì

05/05/2026

2319

Subnet mask là gì? Hướng dẫn cách chia Subnet mask từ A-Z
Hiểu rõ các quy tắc đặt tên miền giúp bạn sở hữu một địa chỉ website chuyên nghiệp và hợp lệ về mặt kỹ thuật.

05/05/2026

57

Tên miền tối đa bao nhiêu ký tự? Quy tắc đặt tên miền 2026
Sử dụng các công cụ uy tín giúp bạn biết chính xác trạng thái tên miền chỉ trong vài giây.

04/05/2026

88

Cách kiểm tra tên miền đã đăng ký chưa chuẩn VNNIC 2026
outsource là gì

29/04/2026

2436

Outsource là gì? Phân biệt Insourcing và Outsourcing
Gọi điện cho tôi Tư vấn dịch vụ Facebook Messenger Chat Zalo