chyangwa

为Linux加防火墙：APF的安装与设置

什么是APF？

APF: Advanced Policy Firewall，是 Rf-x Networks 出品的Linux环境下的软件防火墙。APF采用Linux系统默认的 iptables 规则。APF可以算是Linux中最出名的软件防火墙之一。


下载最新版的APF：

wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

解压：

tar -xzvf apf-current.tar.gz

进入APF目录：

cd apf-版本

安装！

./install.sh

安装完以后，开始配置APF：

nano /etc/apf/conf.apf

查找（ctrl + w） USE_DS=”0″ ，将之更改为 USE_DS=”1″ ；查找 USE_AD=”0″ ，将之更改为 USE_AD=”1″ 。

然后开始配置最主要的部分：端口。

以下提供 cPanel, Ensim 和 Plesk 的推荐配置。

cPanel
IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″
IG_UDP_CPORTS=”21,53,873″

EGF=”1″
EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″
EG_UDP_CPORTS=”20,21,37,53,873″


Ensim
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
IG_UDP_CPORTS=”53″

EGF=”1″
EG_TCP_CPORTS=”21,22,25,53,80,110,443″
EG_UDP_CPORTS=”20,21,53″

Plesk
IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″
IG_UDP_CPORTS=”37,53,873″

EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″
EG_UDP_CPORTS=”53,873″

下面列出常规的端口，方便大家进行配置：

21/tcp ftp
22/tcp ssh
25/tcp smtp
26/tcp 备用smtp端口
80/tcp http
110/tcp pop3
143/tcp imap
443/tcp https
993/tcp imaps
995/tcp pop3s
3306/tcp mysql
5432/tcp postgres
53/udp dns

配置完成后保存退出，并启动APF防火墙：

/usr/local/sbin/apf -s

请注意，此时防火墙是运行在调试模式，每五分钟重洗配置。这样能避免因为错误的配置而使服务器瘫痪。

确保配置无误后，再次进入配置文件（nano /etc/apf/conf.apf），将 DEVM=”1″ 更改为 DEVM=”0″ 。这样APF就会运行在常规模式下。

重启APF（/usr/local/sbin/apf -s）。

注意事项：如果你的Linux内核将iptables直接编译而非模块模式的话，请将配置文件中的 MONOKERN=”0″ 更改为 MONOKERN=”1″ 。

可选配置：
APF有个新的功能便是防止DoS攻击（/etc/apf/ad）。其日志文件保存在/var/log/apfados_log。

下面我们将配置APF使其遇到DoS后发送电子邮件给管理员。

打开配置文件：

nano -w /etc/apf/ad/conf.antidos

查找 [E-Mail Alerts] 。

CONAME=”Your Company” 为你的网站或公司名称。

将 USR_ALERT=”0″ 更改为 USR_ALERT=”0″ ，从而使系统发送电子邮件。

USR=”your@email.com” 为你的电子邮件地址。

保存并退出，重启APF（/usr/local/sbin/apf -r）。

另外，如果需要让系统每次重新启动后自动运行APF，则执行以下命令：

chkconfig --level 2345 apf on

需要去除自动启动的话：

chkconfig --del apf

最后，感谢 Rf-x Networks 给大家带来一款优秀的软件防火墙。也希望大家都能顺利的为自己的Linux架设起一道有效的安全屏障。

chyangwa

加强Linux的防火墙：BFD的安装与设置


将本文取名为“加强Linux的防火墙”，是因为BDF与APF之间的紧密连接性。BFD: Brute Force Detection（穷举破解侦测），与APF: Advanced Policy Firewall（高级规则防火墙），均是由 Rf-x Networks 出品的Linux安全工具。BDF主要用于侦测和防止穷举破解。

在安装BFD前，请务必确认您已经安装了APF，因为BDF将用到APF中的部分功能和特性。如果您还未安装APF，请点击这里阅读菜鸟油提供的APF的安装与设置。


下载最新版的BFD：

wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz

解压并切换至该目录：

tar -xzvf bfd-current.tar.gz
cd bfd-版本

安装：

./install.sh

安装完以后，开始配置BFD：

nano /usr/local/bfd/conf.bfd

将 ALERT_USR=”0″ 改为 ALERT_USR=”1″ 。
将 EMAIL_USR=”root” 改为 EMAIL_USR=”你的Email地址” 。

保存退出。

将自己的IP加入信任列表：

nano -w /usr/local/bfd/ignore.hosts


每个IP一行，如果你的IP是变动的，比如变动范围在111.111.1.1-111.111.255.254，那么只要输入 111.111 就可以了。

OK了，现在可以启动BFD了！

/usr/local/sbin/bfd -s

如果你对shell编程熟悉的话，甚至可以自行对软件进行配置（配置文件都在 /usr/local/bfd/rules 下）。

BFD安装后会自动在 /etc/cron.d/bfd 添加一个每8分钟自动运行的任务。

感谢 Rf-x Networks 给我们带来的优秀的安全工具。祝各位安装使用顺利！