什麼是APF?APF: Advanced Policy Firewall,是 Rf-x Networks 出品的Linux環境下的軟件防火牆。APF采用Linux系統默認的 iptables 規則。APF可以算是Linux中最出名的軟件防火牆之一。下載最新版的APF:wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz解壓:tar -xzvf apf-current.tar.gz進入APF目錄:cd apf-版本安裝!./install.sh安裝完以後,開始配置APF:nano /etc/apf/conf.apf查找(ctrl + w) USE_DS=”0″ ,將之更改為 USE_DS=”1″ ;查找 USE_AD=”0″ ,將之更改為 USE_AD=”1″ 。然後開始配置最主要的部分:端口。以下提供 cPanel, Ensim 和 Plesk 的推薦配置。cPanelIG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″IG_UDP_CPORTS=”21,53,873″EGF=”1″EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″EG_UDP_CPORTS=”20,21,37,53,873″EnsimIG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″IG_UDP_CPORTS=”53″EGF=”1″EG_TCP_CPORTS=”21,22,25,53,80,110,443″EG_UDP_CPORTS=”20,21,53″PleskIG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″IG_UDP_CPORTS=”37,53,873″EGF=”1″EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″EG_UDP_CPORTS=”53,873″下面列出常規的端口,方便大家進行配置:21/tcp FTP22/tcp ssh25/tcp smtp26/tcp 備用smtp端口80/tcp http110/tcp pop3143/tcp imap443/tcp https993/tcp imaps995/tcp pop3s3306/tcp mysql5432/tcp postgres53/udp dns配置完成後保存退出,並啟動APF防火牆:/usr/local/sbin/apf -s請注意,此時防火牆是運行在調試模式,每五分鐘重洗配置。這樣能避免因為錯誤的配置而使服務器癱瘓。確保配置無誤後,再次進入配置文件(nano /etc/apf/conf.apf),將 DEVM=”1″ 更改為 DEVM=”0″ 。這樣APF就會運行在常規模式下。重啟APF(/usr/local/sbin/apf -s)。注意事項:如果你的Linux內核將iptables直接編譯而非模塊模式的話,請將配置文件中的 MONOKERN=”0″ 更改為 MONOKERN=”1″ 。可選配置:APF有個新的功能便是防止DoS攻擊(/etc/apf/ad)。其日志文件保存在/var/log/apfados_log。下面我們將配置APF使其遇到DoS後發送電子郵件給管理員。打開配置文件:nano -w /etc/apf/ad/conf.antidos查找 [E-Mail Alerts] 。CONAME=”Your Company” 為你的網站或公司名稱。將 USR_ALERT=”0″ 更改為 USR_ALERT=”0″ ,從而使系統發送電子郵件。USR=”
[email protected]” 為你的電子郵件地址。保存並退出,重啟APF(/usr/local/sbin/apf -r)。另外,如果需要讓系統每次重新啟動後自動運行APF,則執行以下命令:chkconfig --level 2345 apf on需要去除自動啟動的話:chkconfig --del apf最後,希望大家都能順利的為自己的Linux架設起一道有效的安全屏障。