linux apf防火牆安裝配置 APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux環境下的軟體防火牆,被大部分Linux伺服器管理員所採用,使用iptables的規則,易於理解及使用。 www.2cto.com 適合對iptables不是很熟悉的人使用,因為它的安裝配置比較簡單,但是功能還是非常強大的。 一,下載,安裝apf Linux代碼 root@linux:/home/zhangy# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz root@linux:/home/zhangy# tar -xvzf apf-current.tar.gz root@linux:/home/zhangy# cd apf-9.7-1 root@linux:/home/zhangy/apf-9.7-1# ./install.sh 安裝成功的提示資訊如下: root@linux:/home/zhangy/apf-9.7-1# ./install.sh Installing APF 9.7-1: Completed. Installation Details: Install path: /etc/apf/ Config path: /etc/apf/conf.apf Executable path: /usr/local/sbin/apf Other Details: Listening TCP ports: 22,25,111,3306,53976 Listening UDP ports: 111,917,936,5353,49640,54744 Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options. 二,配置apf vim /etc/apf/conf.apf Linux代碼 IG_TCP_CPORTS="21,22,80,443,3306,8080" //設定伺服器允許被訪問的TCP連接埠 IG_UDP_CPORTS="53" //設定伺服器允許被訪問的UDP連接埠 EG_TCP_CPORTS="21,25,80,443,43,2089" //設定伺服器允許對外訪問的TCP連接埠 EG_UDP_CPORTS="20,21,53" //設定伺服器允許對外訪問的UDP連接埠 DEVEL_MODE="1" 改為 DEVEL_MODE="0" DLIST_SPAMHAUS="0" 改為 DLIST_SPAMHAUS="1" DLIST_DSHIELD="0" 改為 DLIST_DSHIELD="1" 配置過程中要注意以下幾點: 1,根據不同的伺服器開放不同的連接埠,web伺服器根mysql伺服器開放的連接埠肯定不一樣。 2,DEVEL_MODE="1"表示在偵錯模式下,每五分鐘重調配置,這樣能避免因為錯誤的配置而使伺服器崩潰。 3,設定只通許192.168.1.139遠端連線22連接埠 // 在/etc/apf/allow_hosts.rules添加如下資訊: Linux代碼 tcp:in:d=22:s=192.168.1.139 out:d=22:d=192.168.1.139 // 在/etc/apf/deny_hosts.rules添加如下資訊: Linux代碼 tcp:in:d=22:s=0/0 out:d=22:d=0/0 開始的時候,我以為只要在allow_hosts.rules裡面加就行了,改過一後,我換了一個IP,已然可以串連,搞得我很無語。後在deny_hosts.rules加上了上面的規則後,在串連時就提示逾時了。allow_hosts.rules和deny_hosts.rules裡面都加了規則後,重起apf會提示配置成功的資訊,偶然發現的。 Linux代碼 apf(12234): {trust} allow outbound 192.168.1.139 to port 22 apf(12234): {trust} allow inbound tcp 192.168.1.139 to port 22 三,apf的常用命令 Linux代碼 apf -s // 啟動APF防火牆 apf -r // 重啟APF防火牆 apf -f // 重新整理APF防火牆設定檔 apf -l // 列出APF的過慮規則 apf -t // APF的日誌資訊。 apf -e // 將網域名稱解釋加入信認規則 apf -a // 將IP/IP段添加到白名單 apf -d // 將IP/IP段添加到黑名單 apf -u // 將IP/IP段從白/黑名單中刪除 apf -o // 將IP/IP段從白/黑名單中刪除 www.2cto.com 四,常用連接埠列表 Linux代碼 21/tcp //ftp 22/tcp //ssh 25/tcp //smtp 53/udp //dns 80/tcp //http 110/tcp //pop3 143/tcp //imap 443/tcp //https 993/tcp //imaps 995/tcp //pop3 3306/tcp //mysql 5432/tcp //postgresql
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
