Advanced Policy Firewall (APF)
Брандмауэр Advanced Policy Firewall (APF) – это брандмауэр на основе iptable (netfilter), предназначенный для Linux-машин.
Этот надежный и мощный брандмауэр можно рассматривать как интерфейс к iptables, которым можно легко управлять с помощью команды «apf».
Установка
1. Загрузите исходный файл.
# cd / usr / src # wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
2. Извлеките файл.
# tar -xvzf apf-current.tar.gz
3. Запустите файл установщика.
# cd apf * ./install.sh
4. Установите APF в chkconfig. Это необходимо для запуска APF во время перезагрузки системы.
# chkconfig --add apf # chkconfig --level 345 apf on
Настройка
Все файлы конфигурации находятся в папке /etc/apf
Вам необходимо отредактировать файл конфигурации «/etc/apf/conf.apf» в соответствии с требованиями системы.
Мы можем перечислить переменные конфигурации, которые, возможно, потребуется изменить для правильной работы брандмауэра.
1. DEVEL_MODE = “1”.
Это говорит о том, что APF запускается в режиме разработки, что в свою очередь означает, что брандмауэр отключается каждые 5 минут по средствам cronjob, чтобы убедиться, что пользователь не блокирует себя из системы из-за ошибок конфигурации.
После того, как вы удовлетворены тем, что у вас настроен брандмауэр и работает по назначению, вы должны его отключить.
2. IFACE_IN & IFACE_OUT.
IFACE_IN = "eth0" IFACE_OUT = "eth0"
Эти переменные инструктируют брандмауэр о том, какие интерфейсы вы используете для основной сетевой коммуникации, например для работы в Интернете.
3. IG_TCP_CPORTS.
Этот параметр контролирует, какие порты TCP разрешены для входящего трафика, а также известен как порты «сервер» или «прослушиваемые службы».
IG_TCP_CPORTS = "21,22,25,53,80,110,143,443,465,993,995,3306,30000_35000"
4. IG_UDP_CPORTS.
Этот параметр контролирует, какие порты UDP разрешены для входящего трафика, а также известен как порты «сервер» или «прослушиваемые службы».
IG_UDP_CPORTS = "21,53,465,873"
5. EGF.
Рекомендуется включить фильтрацию исходящего (выходного), поскольку она обеспечивает очень надежный уровень защиты и является обычной практикой фильтрации исходящего трафика.
EGF = "1"
6. SET_MONOKERN.
Этот параметр указывает системе, что вместо поиска модулей iptables следует ожидать, что они будут скомпилированы непосредственно в ядро.
Если APF создает ошибку, например, «невозможно загрузить модуль iptables», вам необходимо включить этот параметр.
После правильной настройки APF вам необходимо перезапустить его с помощью команды:
# /etc/init.d/apf restart
Или
# apf -r
Обычное использование APF
1. Отключить IP-адрес.
# apf -d IPADDRESS
Это добавит IP-адрес в файл /etc/apf/deny_hosts.rules.
2. Разрешить IP-адрес.
# apf -a IPaddress
Это добавит IP-адрес в файл /etc/apf/allow_hosts.rules.
3. Удалить IP-адрес.
# apf -u IPaddress
Это приведет к удалению записей, соответствующих файлам allow_hosts.rules, deny_hosts.rules и глобальным расширениям этих файлов.