為Linux系統加防火墻：APF的安裝與設置

　　什么是APF?

　　APF: Advanced Policy Firewall，是 Rf-x Networks 出品的Linux環境下的軟件防火墻。APF采用Linux系統默認的 iptables 規則。APF可以算是Linux中最出名的軟件防火墻之一。

　　下載最新版的APF：

　　wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

　　解壓：

　　tar -xzvf apf-current.tar.gz

　　進入APF目錄：

　　cd apf-版本

　　安裝!

　　./install.sh

　　安裝完以后，開始配置APF：

　　nano /etc/apf/conf.apf

　　查找(ctrl + w) USE_DS=”0″ ，將之更改為 USE_DS=”1″ ;查找 USE_AD=”0″ ，將之更改為 USE_AD=”1″ 。

　　然后開始配置最主要的部分：端口。

　　以下提供 cPanel, Ensim 和 Plesk 的推薦配置。

　　cPanel

　　IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″

　　IG_UDP_CPORTS=”21,53,873″

　　EGF=”1″

　　EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″

　　EG_UDP_CPORTS=”20,21,37,53,873″

　　Ensim

　　IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″

　　IG_UDP_CPORTS=”53″

　　EGF=”1″

　　EG_TCP_CPORTS=”21,22,25,53,80,110,443″

　　EG_UDP_CPORTS=”20,21,53″

　　Plesk

　　IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″

　　IG_UDP_CPORTS=”37,53,873″

　　EGF=”1″

　　EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″

　　EG_UDP_CPORTS=”53,873″

　　下面列出常規的端口，方便大家進行配置：

　　21/tcp ftp

　　22/tcp ssh

　　25/tcp smtp

　　26/tcp 備用smtp端口

　　80/tcp http

　　110/tcp pop3

　　143/tcp imap

　　443/tcp https

　　993/tcp imaps

　　995/tcp pop3s

　　3306/tcp mysql

　　5432/tcp postgres

　　53/udp dns

　　配置完成后保存退出，并啟動APF防火墻：

　　/usr/local/sbin/apf -s

　　請注意，此時防火墻是運行在調試模式，每五分鐘重洗配置。這樣能避免因為錯誤的配置而使服務器癱瘓。

　　確保配置無誤后，再次進入配置文件(nano /etc/apf/conf.apf)，將 DEVM=”1″ 更改為 DEVM=”0″ 。這樣APF就會運行在常規模式下。

　　重啟APF(/usr/local/sbin/apf -s)。

　　注意事項：如果你的Linux內核將iptables直接編譯而非模塊模式的話，請將配置文件中的 MONOKERN=”0″ 更改為 MONOKERN=”1″ 。

　　可選配置：

　　APF有個新的功能便是防止DoS攻擊(/etc/apf/ad)。其日志文件保存在/var/log/apfados_log。

　　下面我們將配置APF使其遇到DoS后發送電子郵件給管理員。

　　打開配置文件：

　　nano -w /etc/apf/ad/conf.antidos

　　查找 [E-Mail Alerts] 。

　　CONAME=”Your Company” 為你的網站或公司名稱。

　　將 USR_ALERT=”0″ 更改為 USR_ALERT=”0″ ，從而使系統發送電子郵件。

　　USR=”your@email.com” 為你的電子郵件地址。

　　保存并退出，重啟APF(/usr/local/sbin/apf -r)。

　　另外，如果需要讓系統每次重新啟動后自動運行APF，則執行以下命令：

　　chkconfig --level 2345 apf on

　　需要去除自動啟動的話：

　　chkconfig --del apf

　　最后,希望大家都能順利的為自己的Linux架設起一道有效的安全屏障。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈