CSF memiliki salah satu fitur yang bermanfaat yaitu Connection Tracking. Di sini memungkinkan kamu untuk melakukan koneksi tracking dari semua koneksi yang terbentuk pada suatu IP Address. Jika jumlah koneksi yang terjadi lebih besar dari nilai yang sudah ditentukan, maka IP address yang melakukan koneksi tersebut akan terblokir oleh CSF. Hal ini dapat berguna untuk mencegah terjadinya DOS Attack.
Namun terkadang blokir IP Address tersebut bisa juga salah sasaran (false-positives). Beberapa protokol seperti FTP, HTTP/HTTPS, IMAPD mungkin memakan koneksi yang banyak sehingga kemungkinan diblokir akan sangat tinggi. Terutama jika protokol tersebut melakukan banyak closed connection TIME_WAIT.
Berikut settingan yang mungkin bisa menjadi pertimbangan :
Settingan yang umum digunakan adalah di angka 300 dengan range 0-1000
CT_LIMIT = 300
Connection Tracking interval, ini perlu di set untuk menentukan interval scanning. Jika di set 30 artinya setiap 30 detik akan melakukan scanning.
CT_INTERVAL = 30
Kirim email alert jika ada IP Address yang kena trigger blokir karena connection tracking.
CT_EMAIL_ALERT = 1
Jika kamu ingin membuat IP Blokir permanen, maka set value ini menjadi 1.
CT_PERMANENT = 1
Jika kamu tidak ingin menggunakan blokir permanen, maka gunakan CT_BLOCK_TIME blokir dengan durasi tertentu dengan value satuan detik. Contoh 1800 = 30 menit.
CT_BLOCK_TIME = 86400
Jika TIME_WAIT tidak ingin diperhitungkan dalam proses connection tracking, maka set value 1
CT_SKIP_TIME_WAIT = 1
Jika kamu ingin melakukan scan connection tracking dengan port tertentu, maka isi value dengan contoh 80,443
CT_PORTS = 80,443
