广东服务器租用:linux的apf防火墙安装及配置.

APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大部分Linux服务器管理员所采用,使用iptables的规则,易于理解及使用。

适合对iptables不是很熟悉的人使用,因为它的安装配置比较简单,但是功能还是非常强大的。

一,下载,安装apf

  1. root@linux:/home/zhangy# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
  2. root@linux:/home/zhangy# tar -xvzf apf-current.tar.gz
  3. root@linux:/home/zhangy# cd apf-9.7-1
  4. root@linux:/home/zhangy/apf-9.7-1# ./install.sh

安装成功的提示信息如下:

root@linux:/home/zhangy/apf-9.7-1# ./install.sh
Installing APF 9.7-1: Completed.

Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf

Other Details:
Listening TCP ports: 22,25,111,3306,53976
Listening UDP ports: 111,917,936,5353,49640,54744
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

二,配置apf

vim /etc/apf/conf.apf

  1. IG_TCP_CPORTS=“21,22,80,443,3306,8080”   //设置服务器允许被访问的TCP端口
  2. IG_UDP_CPORTS=“53”                       //设置服务器允许被访问的UDP端口
  3. EG_TCP_CPORTS=“21,25,80,443,43,2089”     //设置服务器允许对外访问的TCP端口
  4. EG_UDP_CPORTS=“20,21,53”                 //设置服务器允许对外访问的UDP端口
  5. DEVEL_MODE=“1” 改为 DEVEL_MODE=“0”
  6. DLIST_SPAMHAUS=“0” 改为 DLIST_SPAMHAUS=“1”
  7. DLIST_DSHIELD=“0” 改为 DLIST_DSHIELD=“1”

配置过程中要注意以下几点:

1,根据不同的服务器开放不同的端口,web服务器根mysql服务器开放的端口肯定不一样。

2,DEVEL_MODE=”1″表示在调试模式下,每五分钟重调配置,这样能避免因为错误的配置而使服务器崩溃。

3,设置只通许192.168.1.139远程连接22端口

  1. // 在/etc/apf/allow_hosts.rules添加如下信息:
  2. tcp:in:d=22:s=192.168.1.139
  3. out:d=22:d=192.168.1.139
  4. // 在/etc/apf/deny_hosts.rules添加如下信息:
  5. tcp:in:d=22:s=0/0
  6. out:d=22:d=0/0

开始的时候,我以为只要在allow_hosts.rules里面加就行了,改过一后,我换了一个IP,已然可以连接,搞得我很无语。后在deny_hosts.rules加上了上面的规则后,在连接时就提示超时了。allow_hosts.rules和deny_hosts.rules里面都加了规则后,重起apf会提示配置成功的信息,偶然发现的。

  1. apf(12234): {trust} allow outbound 192.168.1.139 to port 22
  2. apf(12234): {trust} allow inbound tcp 192.168.1.139 to port 22

三,apf的常用命令

  1. apf -s  // 启动APF防火墙
  2. apf -r  // 重启APF防火墙
  3. apf -f  // 刷新APF防火墙配置文件
  4. apf -l  // 列出APF的过虑规则
  5. apf -t  // APF的日志信息。
  6. apf -e  // 将域名解释加入信认规则
  7. apf -a  // 将IP/IP段添加到白名单
  8. apf -d  // 将IP/IP段添加到黑名单
  9. apf -u  // 将IP/IP段从白/黑名单中删除
  10. apf -o  // 将IP/IP段从白/黑名单中删除

四,常用端口列表

  1. 21/tcp       //ftp
  2. 22/tcp       //ssh
  3. 25/tcp       //smtp
  4. 53/udp       //dns
  5. 80/tcp       //http
  6. 110/tcp      //pop3
  7. 143/tcp      //imap
  8. 443/tcp      //https
  9. 993/tcp      //imaps
  10. 995/tcp      //pop3
  11. 3306/tcp     //mysql
  12. 5432/tcp     //postgresql  .    如果可以的话,考虑有硬件防火墙的机房,比如佛山德胜的电信高防服务器160G防御 100M带宽可以防御DDOS攻击和CC攻击.另外,大家如果租了广东佛山机房的高防服务器机器可以免费协助客户安装这些环境配置这些环境已经24小时售后服务.德胜网络,专业提供IDC服务,业务包括:服务器租用,高防服务器,BGP,服务器托管,机柜租用,大带宽。佛山高防测试ip183.60.110.56

发表评论

电子邮件地址不会被公开。 必填项已用*标注