免費而強大的linux防火牆：APF

如果您不是精通linux的高手，如果您對iptables不熟悉，這裡有一款免費而強大的linux防火牆：APF

為Linux加防火牆：APF的安裝與設定

service apf start 打開

service apf stop 關閉

為Linux加防火牆：APF的安裝與設定(可以防止DDOS小量的攻擊)

<a href="http://www.rfxnetworks.com/">http://www.rfxnetworks.com</a>

什麼是APF？

APF: Advanced Policy Firewall，是 Rf-x Networks 出品的Linux環境下的軟體防火牆。APF采用Linux系統預設的 iptables 規則。APF可以算是Linux中最出名的軟體防火牆之一。

下載下傳最新版的APF：

解壓：

tar -zxvf apf-current.tar.gz

進入APF目錄：

cd apf-版本

安裝！

./install.sh

安裝完以後，開始配置APF：

vi /etc/apf/conf.apf

查找 USE_DS=”0″ ，将之更改為 USE_DS=”1″ ；查找 USE_AD=”0″ ，将之更改為 USE_AD=”1″ 。

然後開始配置最主要的部分：端口。

以下提供 cPanel, Ensim 和 Plesk以及DirectAdmin 的推薦配置。

cPanel

IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096,2222″

IG_UDP_CPORTS=”21,53,873″

EGF=”1″

EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″

EG_UDP_CPORTS=”20,21,37,53,873″

Ensim

IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″

IG_UDP_CPORTS=”53″

EG_TCP_CPORTS=”21,22,25,53,80,110,443″

EG_UDP_CPORTS=”20,21,53″

Plesk

IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″

IG_UDP_CPORTS=”37,53,873″

EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″

EG_UDP_CPORTS=”53,873″

下面列出正常的端口，友善大家進行配置：

21/tcp ftp

22/tcp ssh

25/tcp smtp

26/tcp 備用smtp端口

80/tcp http

110/tcp pop3

143/tcp imap

443/tcp https

993/tcp imaps

995/tcp pop3s

3306/tcp mysql

5432/tcp postgres

53/udp dns

配置完成後儲存退出，并啟動APF防火牆：

/usr/local/sbin/apf -s

請注意，此時防火牆是運作在調試模式，每五分鐘重洗配置。這樣能避免因為錯誤的配置而使伺服器癱瘓。

確定配置無誤後，再次進入配置檔案（nano /etc/apf/conf.apf），将 DEVM=”1″ 更改為 DEVM=”0″ 。這樣APF就會運作在正常模式下。

重新開機APF（/usr/local/sbin/apf -s）。

注意事項：如果你的Linux核心将iptables直接編譯而非子產品模式的話，請将配置檔案中的 MONOKERN=”0″ 更改為 MONOKERN=”1″ 。

可選配置：

APF有個新的功能便是防止DoS攻擊（/etc/apf/ad）。其日志檔案儲存在/var/log/apfados_log。

下面我們将配置APF使其遇到DoS後發送電子郵件給管理者。

打開配置檔案：

vi /etc/apf/ad/conf.antidos

查找 [E-Mail Alerts] 。

CONAME=”Your Company” 為你的網站或公司名稱。

将 USR_ALERT=”0″ 更改為 USR_ALERT=”0″ ，進而使系統發送電子郵件。

儲存并退出，重新開機APF（/usr/local/sbin/apf -r）。

另外，如果需要讓系統每次重新啟動後自動運作APF，則執行以下指令：

chkconfig –level 2345 apf on

需要去除自動啟動的話：

chkconfig –del apf

最後，感謝 Rf-x Networks 給大家帶來一款優秀的軟體防火牆。也希望大家都能順利的為自己的Linux架設起一道有效的安全屏障。