|
Ce tutoriel vous explique comment installer et configurer APF.
APF c'est une interface à iptables qui vous permet de configurer facilement un pare-feu et sécuriser les serveurs ou les postes de travail. Nous allons commencer avec le téléchargement et l'extraction de l'archive:
wget http://www.rfxn.com/downloads/apf-current.tar.gz
tar-zxvf apf-current.tar.gz
cd APF-x.x-x
Exécuter install.sh:
sh. / install.sh
Plus d'informations sur les ports utilisés : http://www.rfxn.com/appdocs/README.apf
Le fichier de configuration de APF est /etc/apf /conf.apf nous l'avons donc modifier:
nano -w /etc/apf/conf.apf
Par défaut tout est verrouillé (commenté ), vous devez ouvrir les ports, que vous devez utiliser.
DEVEL_MODE = "1" - assurez-vous de régler cette option à 1 jusqu'à ce que vous êtes satisfait avec les paramètres. Développement mode définit une tâche cron pour désactiver APF toutes les 5 minutes.
SET_MONOKERN = "0" - APF appuie les noyaux monolithique.
IFACE_IN = "eth0" et IFACE_OUT = "eth0" - les interfaces non sécurisé connecté au réseau
IG_TCP_CPORTS="20,21,22,25,26,37,43,53,80,110,113,143,443,465,873,993,995,2077,2078,2082,2083,2086,2087,2095,2096,3306,6666" - les ports TCP entrants
IG_UDP_CPORTS = "53,6277" - les ports UDP entrants
IG_ICMP_TYPES = "3,5,11,30" - entrant - ICMP. J'ai retiré les ports 0 et 8, le serveur ne répondait à aucune ping. Laissez-les en place si ...surveillance de réseau.
EG_TCP_CPORTS = "21,25,37,53,80,110,113, # 123,443,43,873,953,2089,2703" - sortant TCP
EG_UDP_CPORTS = "20,21,53,873,953,6277" - sortant UDP
TCP_STOP = "Drop" - définit une action en cas de connexions TCP
UDP_STOP = "Drop" - définit une action en cas de connexions UDP
ALL_STOP = "Drop" - définit une action à toutes les autres connexions
Nous pouvons envoyer un TCP / IP de réinitialisation (RESET), laisse le paquet sans répondre (DROP), rejeter (REJECT) ou icmp-host-prohibited UDP.
BLK_PRVNET = "1" - bloque toutes les adresses IPv4 privées. Si votre machine est derrière un NAT définissez cette variable à 0
Nous commençons:
/usr/local/sbin/apf -s
Nous pouvons utiliser les paramètres suivants:
-s - start APF
-r - restart APF
-f - stop APF
-l - list statistics
-st - status of APF
-a host - allow connections from "host"
-d host - deny connections from "host"
Maintenant nous pouvons tester notre pare-feu avec un scanner de port comme nmap ou tout autre outil. Si nous nous heurtons à des problèmes, nous serons en mesure de le corriger car Cron videra les règles toutes les 5 minutes.
Si nous sommes sûrs que le pare-feu fonctionne et ne bloque pas les ports que nous avons besoin, nous pouvons changer DEVEL_MODE = "1" dans le fichier de configuration à 0 et redémarrez l'APF.
Vérifiez que APF est lancé au démarrage !
|
Share Link: 
Commentaires