linux下防火牆APF的安裝與設置

 　什麼是APF？
　　
　　APF: Advanced Policy Firewall，是 Rf-x Networks 出品的Linux環境下的軟件防火牆。APF採用Linux系統默認的 iptables 規則。APF可以算是Linux中最出名的軟件防火牆之一。
　　
　　下載最新版的APF：
　　
　　wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
　　
　　解壓：
　　
　　tar -xzvf apf-current.tar.gz
　　
　　進入APF目錄：
　　
　　cd apf-版本
　　
　　安裝！
　　
　　./install.sh
　　
　　安裝完以後，開始配置APF：
　　
　　nano /etc/apf/conf.apf
　　
　　查找（ctrl + w） USE_DS=”0″ ，將之更改爲 USE_DS=”1″ ；查找 USE_AD=”0″ ，將之更改爲 USE_AD=”1″ 。
　　
　　然後開始配置最主要的部分：端口。
　　
　　以下提供 cPanel, Ensim 和 Plesk 的推薦配置。
　　
　　cPanel
　　IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″
　　IG_UDP_CPORTS=”21,53,873″
　　
　　EGF=”1″
　　EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″
　　EG_UDP_CPORTS=”20,21,37,53,873″
　　
　　
　　Ensim
　　IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
　　IG_UDP_CPORTS=”53″
　　
　　EGF=”1″
　　EG_TCP_CPORTS=”21,22,25,53,80,110,443″
　　EG_UDP_CPORTS=”20,21,53″
　　
　　Plesk
　　IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″
　　IG_UDP_CPORTS=”37,53,873″
　　
　　EGF=”1″
　　EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″
　　EG_UDP_CPORTS=”53,873″
　　
　　下面列出常規的端口，方便大家進行配置：
　　
　　21/tcp ftp
　　22/tcp ssh
　　25/tcp smtp
　　26/tcp 備用smtp端口
　　80/tcp http
　　110/tcp pop3
　　143/tcp imap
　　443/tcp https
　　993/tcp imaps
　　995/tcp pop3s
　　3306/tcp mysql
　　5432/tcp postgres
　　53/udp dns
　　
　　配置完成後保存退出，並啓動APF防火牆：
　　
　　/usr/local/sbin/apf -s
　　
　　請注意，此時防火牆是運行在調試模式，每五分鐘重洗配置。這樣能避免因爲錯誤的配置而使服務器癱瘓。
　　
　　確保配置無誤後，再次進入配置文件（nano /etc/apf/conf.apf），將 DEVM=”1″ 更改爲 DEVM=”0″ 。這樣APF就會運行在常規模式下。
　　
　　重啓APF（/usr/local/sbin/apf -s）。
　　
　　注意事項：如果你的Linux內核將iptables直接編譯而非模塊模式的話，請將配置文件中的 MONOKERN=”0″ 更改爲 MONOKERN=”1″ 。
　　
　　可選配置：
　　APF有個新的功能便是防止DoS攻擊（/etc/apf/ad）。其日誌文件保存在/var/log/apfados_log。
　　
　　下面我們將配置APF使其遇到DoS後發送電子郵件給管理員。
　　
　　打開配置文件：
　　
　　nano -w /etc/apf/ad/conf.antidos
　　
　　查找 [E-Mail Alerts] 。
　　
　　CONAME=”Your Company” 爲你的網站或公司名稱。
　　
　　將 USR_ALERT=”0″ 更改爲 USR_ALERT=”0″ ，從而使系統發送電子郵件。
　　
　　USR=”[email protected]” 爲你的電子郵件地址。
　　
　　保存並退出，重啓APF（/usr/local/sbin/apf -r）。
　　
　　另外，如果需要讓系統每次重新啓動後自動運行APF，則執行以下命令：
　　
　　chkconfig --level 2345 apf on
　　
　　需要去除自動啓動的話：
　　
　　chkconfig --del apf
　　
　　最後,希望大家都能順利的爲自己的Linux架設起一道有效的安全屏障。

附:

DA面板的配置端口:

# Common TCP Ports
TCP_CPORTS="21,22,25,53,80,443,110,143,2222,2525,7000,9667,6000_7000"

# Common UDP Ports
UDP_CPORTS="53"

第二種安裝說明:

安裝APF防火牆 （Advanced Policy Firewall）

這是個ipchain firewall.



cd /usr/src

wget http://rfxnetworks.com/downloads/apf-current.tar.gz

tar -xvzf apf-current.tar.gz

rm -f apf-current.tar.gz

cd apf-0.9*

sh ./install.sh （以上爲安裝過程）

pico -w conf.apf （pico打開設置文件）



press "Ctrl+W" search "TCP Ports" （找TCP ports"



# Common TCP Ports （設置你要打開的port）

TCP_CPORTS="21,22,25,53,80,110,143, 443, 19638"



# Common UDP Ports （設置你要打開的port）

UDP_CPORTS="53"



CTRL-x, y to save enter to confirm (退出pico)



service apf start （運行APF)



pico -w conf.apf （pico打開設置文件）



DEVM="0" (找到DEVM, 設成0,預設的是1，代表5分鐘後Firewall會被重設）



CTRL-x, y to save enter to confirm (退出pico)



service apf restart