当前位置:Linux教程 - Linux资讯 - 为Linux加防火墙:APF的安装与设置

为Linux加防火墙:APF的安装与设置

什么是APF?APF: Advanced Policy Firewall,是 Rf-x Networks 出品的Linux环境下的软件防火墙。APF采用Linux系统默认的 iptables 规则。APF可以算是Linux中最出名的软件防火墙之一。下载最新版的APF:wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz解压:tar -xzvf apf-current.tar.gz进入APF目录:cd apf-版本安装!./install.sh安装完以后,开始配置APF:nano /etc/apf/conf.apf查找(ctrl + w) USE_DS=”0″ ,将之更改为 USE_DS=”1″ ;查找 USE_AD=”0″ ,将之更改为 USE_AD=”1″ 。然后开始配置最主要的部分:端口。以下提供 cPanel, Ensim 和 Plesk 的推荐配置。cPanelIG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″IG_UDP_CPORTS=”21,53,873″EGF=”1″EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″EG_UDP_CPORTS=”20,21,37,53,873″EnsimIG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″IG_UDP_CPORTS=”53″EGF=”1″EG_TCP_CPORTS=”21,22,25,53,80,110,443″EG_UDP_CPORTS=”20,21,53″PleskIG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″IG_UDP_CPORTS=”37,53,873″EGF=”1″EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″EG_UDP_CPORTS=”53,873″下面列出常规的端口,方便大家进行配置:21/tcp FTP22/tcp ssh25/tcp smtp26/tcp 备用smtp端口80/tcp http110/tcp pop3143/tcp imap443/tcp https993/tcp imaps995/tcp pop3s3306/tcp mysql5432/tcp postgres53/udp dns配置完成后保存退出,并启动APF防火墙:/usr/local/sbin/apf -s请注意,此时防火墙是运行在调试模式,每五分钟重洗配置。这样能避免因为错误的配置而使服务器瘫痪。确保配置无误后,再次进入配置文件(nano /etc/apf/conf.apf),将 DEVM=”1″ 更改为 DEVM=”0″ 。这样APF就会运行在常规模式下。重启APF(/usr/local/sbin/apf -s)。注意事项:如果你的Linux内核将iptables直接编译而非模块模式的话,请将配置文件中的 MONOKERN=”0″ 更改为 MONOKERN=”1″ 。可选配置:APF有个新的功能便是防止DoS攻击(/etc/apf/ad)。其日志文件保存在/var/log/apfados_log。下面我们将配置APF使其遇到DoS后发送电子邮件给管理员。打开配置文件:nano -w /etc/apf/ad/conf.antidos查找 [E-Mail Alerts] 。CONAME=”Your Company” 为你的网站或公司名称。将 USR_ALERT=”0″ 更改为 USR_ALERT=”0″ ,从而使系统发送电子邮件。USR=”[email protected]” 为你的电子邮件地址。保存并退出,重启APF(/usr/local/sbin/apf -r)。另外,如果需要让系统每次重新启动后自动运行APF,则执行以下命令:chkconfig --level 2345 apf on需要去除自动启动的话:chkconfig --del apf最后,希望大家都能顺利的为自己的Linux架设起一道有效的安全屏障。  

(出处:http://www.sheup.com)