APF(Advanced Policy Firewall)是 Rf-x Networks 出品的 Linux 環(huán)境下的軟件防火墻,被大部分Linux服務(wù)器管理員所采用,使用iptables的規(guī)則,易于理解及使用。適合對iptables不是很熟悉的人使用，因為它的安裝配置比較簡單，但是功能還是非常強大的。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比果洛州網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式果洛州網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋果洛州地區(qū)。費用合理售后完善，十余年實體公司更值得信賴。

root@linux:/home/zhangy# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
root@linux:/home/zhangy# tar -xvzf apf-current.tar.gz
root@linux:/home/zhangy# cd apf-9.7-1
root@linux:/home/zhangy/apf-9.7-1# ./install.sh

安裝成功的提示信息如下：

root@linux:/home/zhangy/apf-9.7-1# ./install.sh
Installing APF 9.7-1: Completed.
Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
Other Details:
Listening TCP ports: 22,25,111,3306,53976
Listening UDP ports: 111,917,936,5353,49640,54744
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

vim /etc/apf/conf.apf

IG_TCP_CPORTS="21,22,80,443,3306,8080"   //設(shè)置服務(wù)器允許被訪問的TCP端口IG_UDP_CPORTS="53"                       //設(shè)置服務(wù)器允許被訪問的UDP端口EG_TCP_CPORTS="21,25,80,443,43,2089"     //設(shè)置服務(wù)器允許對外訪問的TCP端口EG_UDP_CPORTS="20,21,53"                 //設(shè)置服務(wù)器允許對外訪問的UDP端口
DEVEL_MODE="1" 改為 DEVEL_MODE="0"
DLIST_SPAMHAUS="0" 改為 DLIST_SPAMHAUS="1"
DLIST_DSHIELD="0" 改為 DLIST_DSHIELD="1"

配置過程中要注意以下幾點：

1,根據(jù)不同的服務(wù)器開放不同的端口，web服務(wù)器根MySQL服務(wù)器開放的端口肯定不一樣。

2,DEVEL_MODE="1"表示在調(diào)試模式下，每五分鐘重調(diào)配置，這樣能避免因為錯誤的配置而使服務(wù)器崩潰。

3,設(shè)置只通許192.168.1.139遠程連接22端口

// 在/etc/apf/allow_hosts.rules添加如下信息：tcp:in:d=22:s=192.168.1.139
out:d=22:d=192.168.1.139
// 在/etc/apf/deny_hosts.rules添加如下信息：
tcp:in:d=22:s=0/0
out:d=22:d=0/0

開始的時候，我以為只要在allow_hosts.rules里面加就行了，改過一后，我換了一個IP，已然可以連接，搞得我很無語。后在deny_hosts.rules加上了上面的規(guī)則后，在連接時就提示超時了。allow_hosts.rules和deny_hosts.rules里面都加了規(guī)則后，重起apf會提示配置成功的信息，偶然發(fā)現(xiàn)的。

apf(12234): {trust} allow outbound 192.168.1.139 to port 22
apf(12234): {trust} allow inbound tcp 192.168.1.139 to port 22

apf -s  // 啟動APF防火墻
apf -r  // 重啟APF防火墻
apf -f  // 刷新APF防火墻配置文件
apf -l  // 列出APF的過慮規(guī)則
apf -t  // APF的日志信息
apf -e  // 將域名解釋加入信認規(guī)則
apf -a  // 將IP/IP段添加到白名單
apf -d  // 將IP/IP段添加到黑名單
apf -u  // 將IP/IP段從白/黑名單中刪除
apf -o  // 將IP/IP段從白/黑名單中刪除

21/tcp       //ftp
22/tcp       //ssh
25/tcp       //smtp
53/udp       //DNS
80/tcp       //http
110/tcp      //pop
3143/tcp      //imap
443/tcp      //https
993/tcp      //imaps
995/tcp      //pop3
3306/tcp     //mysql
5432/tcp     //postgresql

本文名稱：linuxapf防火墻安裝與配置
轉(zhuǎn)載來源：http://www.yijiale78.com/article8/pjdoip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、建站公司、小程序開發(fā)、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)