如何在CentOS 5.3上安装和配置高级策略防火墙（APF）

如何在CentOS 5.3上安装和配置高级策略防火墙（APF）

作者：Leszek Taczkowski

本教程介绍如何安装和配置APF - IPTables的界面，您可以轻松地配置全功能防火墙来保护连接到网络的服务器和工作站。 本指南介绍了具有cPanel的服务器上的示例安装，但这只是端口号的一个问题，必须对所有端口都开放。 APF可以在任何系统上使用。

cPanel的制造商推荐CentOS作为其软件的基础。 这就是为什么我用这个分发给我的例子。 任何有IPTables的分发都可以。

从高级策略防火墙的网站：

“高级策略防火墙（APF）是基于IPTables（Netfilter）的防火墙系统，围绕当今Linux服务器的基本需求而设计，配置设计非常翔实，易于管理，日常管理使用'apf'命令从命令行进行，其中包括所有功能的详细使用信息。

安装

我们将从APF下载和提取存档开始：

wget http://www.rfxn.com/downloads/apf-current.tar.gz
 tar -zxvf http://www.rfxn.com/downloads/apf-current.tar.gz
 cd apf-9.7-1

并安装它：

sh ./install.sh

安装完成后，APF将显示其可执行文件和配置文件的位置以及检测到在我们系统上使用的端口。 您必须验证数字是否正确以避免错误。

有关cPanel使用的端口的更多信息，请访问： http : //docs.cpanel.net/twiki/bin/view/AllDocumentation/AllFAQ/LinuxFAQ#Which_ports_should_be_open_if_I

组态

APF的基本配置文件是/etc/apf/conf.apf ，所以我们这样编辑它：

nano -w /etc/apf/conf.apf

配置文件的评论很好，所以不难理解哪些选项对某些功能负责。 您应该记住的是，默认情况下，所有内容都被锁定，您必须配置APF以打开端口您需要使用。

让我们上班吧！

DEVEL_MODE =“1” - 确保将此选项设置为1，直到您对设置满意为止。
开发模式设置一个cron作业，每5分钟停用APF。 这真的让你将它安装在远程机器上，而不会有自己的危险。

SET_MONOKERN =“0” - APF支持单片内核。 如果IPTables未被编译为模块（APF然后投诉IPTables即使没有设置防火墙，例如：启动APF：无法加载iptables模块（ip_tables），中止）。

IFACE_IN =“eth0”和IFACE_OUT =“eth0” - 连接到网络的不信任接口，主要是互联网

IG_TCP_CPORTS =“20,21,22,25,26,37,43,53,80,110,113,143,443,465,873,993,995,2077,2078,2082,2083,2086,2087,2095,2096,3306,6666” - 入站TCP端口打开

IG_UDP_CPORTS =“53,6277” - 要打开的入站UDP端口

IG_ICMP_TYPES =“3,5,11,30” - 入站ICMP端口号。 我删除了端口0和8，所以服务器不会回答任何ping，什么部分隐藏在网络上。 如果您或您的数据中心使用ping数据包（例如网络监控），请将其留在原地。

EG_TCP_CPORTS =“21,25,37,53,80,110,113，＃123,443,43,873,953,2089,2703” - 要打开的出站TCP端口。 在这一点上，通过阻止像SSH那样的某些服务，我们可以阻止黑客入侵我们的系统并想要连接到其他服务器

EG_UDP_CPORTS =“20,21,53,873,953,6277” - 出站UDP端口号

TCP_STOP =“DROP” - 在TCP连接违反规则的情况下定义一个反应

UDP_STOP =“DROP” - 在UDP连接违反规则的情况下定义一个反应

ALL_STOP =“DROP” - 定义对任何其他连接的反应

我们可以发送一个TCP / IP复位（RESET），丢弃数据包而不应答（DROP），拒绝它（REJECT）或发送icmp主机禁止的答案（PROHIBIT）在UDP的情况下。

BLK_PRVNET =“1” - 阻止所有私有ipv4地址。 如果您的机器在NAT之后，请将其设置为0

值得花更多的时间来熟悉更多配置选项，因为APF非常丰富。

测试

记住DEVEL_MODE选项，我们启动APF：

/usr/local/sbin/apf -s

我们可以使用以下参数：

-s - 启动APF

-r - 重新启动APF

- 停止APF

-l - 列表统计信息

-st - APF的状态

- 主机 - 允许从“主机”

-d主机 - 拒绝“主机”连接

现在我们可以使用像nmap或任何其他工具的端口扫描仪来测试我们的防火墙。 如果我们遇到任何问题，我们将能够修复它，因为Cron将每5分钟刷一次规则。

最后准备

现在我们确定防火墙正在工作，并且不阻止我们需要的端口，我们可以将配置文件中的DEVEL_MODE =“1”选项更改为0并重新启动APF。

接下来我们确保APF在启动时启动，所以使用setup命令我们去系统服务 ，勾选APF并保存设置。 系统重启后，APF应自动启动。

链接

• CentOS - http://www.centos.org
• 高级策略防火墙 - http://www.rfxn.com/projects/advanced-policy-firewall
• cPanel - http://www.cpanel.net