LinkBack URL
About LinkBacks
Cos'è APF (Advanced Policy Firewall)?
APF è un firewall basato su iptables progettato per essere semplice da usare e configurare. Utilizza un sottoinsieme di caratteristiche per soddifare sia l'utente esperto che il novellino di linux. La compressione in tar.gz e con i formati RPM, rende APF ideale per lo sviluppo su molti ambienti server basati su linux. APF è sviluppato e mantenuto da R-fx Networks: http://www.rfxnetworks.com/apf.php
Questa guida vi illustrerà come installare e configurare il firewall APF, uno dei più conosciuti firewall disponibili per linux
Requisiti:
- Accesso Root via SSH al tuo server
Cominciamo!
Fai il login al tuo server mediante SSH e fai su per loggarti come root
1. cd /root/downloads o un'altra cartella temporanea dove metti i tuoi files
2. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
3. tar -xvzf apf-current.tar.gz
4. cd apf-0.9.5-1/ o dov'è l'ultima versione.
5. Fai partire il file: ./install.sh
Riceverai un messaggio che ti dirà che è stato installato
Nota: Queste porte non sono auto-configurate; sono semplicemente presentate a scopo informativo. Devi configurare manualmente tutte le opzioni delle porte.Installing APF 0.9.5-1: Completed. Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
6. configuriamo il firewall: pico /etc/apf/conf.apf
Prenderemo in considerazione solo la configurazione generale per far funzionare il firewall. Questa non è una guida completa e dettagliata su ogni funzione che ha il firewall. Leggi il README per una spiegazione di ogni funzione.Vogliamo utilizzare la lista di DShield.org's delle reti che hanno esibito maggiore attività sospetta.
TROVA: USE_DS="0"
MODIFICA A: USE_DS="1"
7. Configurazione porte Firewall:
Server Cpanel
Vogliamo usare le seguenti sui nostri server di Cpanel
Principali porte di ingresso (inbound)
Principali porte di uscita (outbound)# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
Server Ensim# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43,2089"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"
Abbiamo scoperto che le seguenti si possono usare su server Ensim - comunque non le abbiamo provate perchè non abbiamo pannelli ensim
Principali porte di ingresso (inbound)
Principali porte di uscita (outbound)# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
Salva le modifiche: Ctrl+X e poi Y# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"
8. Far partire il firewall
Altri comandi:/usr/local/sbin/apf -s
9. Dopo che tutto è a posto modifica l'opzione DEVusage ./apf [OPTION]
-s|--start ......................... load firewall policies
-r|--restart ....................... flush & load firewall
-f|--flush|--stop .................. flush firewall
-l|--list .......................... list chain rules
-st|--status ....................... firewall status
-a HOST CMT|--allow HOST COMMENT ... add host (IP/FQDN) to allow_hosts.rules and immediately load new rule into firewall
-d HOST CMT|--deny HOST COMMENT .... add host (IP/FQDN) to deny_hosts.rules and immediately load new rule into firewall
Ferma il firewall per far pulire i cron.
Ti suggeriamo di reimpostarlo a "0" dopo che hai avuto la possibilità di assicurarti che tutto funziona bene e hai testato il server.
TROVA: DEVM="1"pico /etc/apf/conf.apf
CAMBIA A: DEVM="0"
10. Configura AntiDOS per APF
Relativamente nuova ad APF è la funzione AntiDOS che può essere trovata in: /etc/apf/ad
I file di log verranno messi in /var/log/apfados_log così potrai prendere nota di essi e guardarli
pico /etc/apf/ad/conf.antidos
immagino che vorrai sapere altre cose, ma io ti spiego quella che ti consente di ricevere gli avvertimenti via email
Sotto questa intestazione abbiamo quello che segue:# [E-Mail Alerts]
# Organization name to display on outgoing alert emails
CONAME="Your Company"
Inserisci il nome della tua azienda o il nome del server.
# Send out user defined attack alerts [0=off,1=on]
USR_ALERT="0"
Settalo a 1 per ricevere avvertimenti via email
# User for alerts to be mailed to
USR="your@email.com"
Inserisci il tuo indirizzo email per ricevere gli avvertimenti
Salva le modifiche! Ctrl+X e poi Y
Fai ripartire il firewall:11. Controllare i log di APF/usr/local/sbin/apf -r
Mostrerà ogni modifica per abilitare o disabilitare fra altre cose.
tail -f /var/log/apf_log
Esempio di output:
12.Fai partire automaticamente APF all'avvioAug 23 01:25:55 ocean apf(31448): (insert) deny all to/from 185.14.157.123
Aug 23 01:39:43 ocean apf(32172): (insert) allow all to/from 185.14.157.123
Per far partire automaticamente APF all'avvio:
Per rimuoverlo dall'autostartchkconfig --level 2345 apf on
13. Disabilitare IP con APF (Bloccare)chkconfig --del apf
Ora che hai il tuo firewall nuovo di zecca probabilmente vorrai bloccare un host, giustamente! Con questa nuova versione APF ora supporta anche i commenti. Ci sono diversi modi per bloccare un IP, io ti mostrerò i due metodi più semplici. A)> Il flag -d significa Blocca (DENY) l'indirizzo IP/etc/apf/apf -d IPHERE COMMENTHERENOSPACES
> IPHERE è l'indirizzo IP che vuoi bloccare
> COMMENTSHERENOSPACES è ovvio, aggiungi i commenti sul perchè l'IP è stao bloccato
Queste regole sono caricate subito nel firewall, quindi sono attive da subito
Esempio:
./apf -d 185.14.157.123 TESTING
pico /etc/apf/deny_hosts.rules
Mostra quanto segue:
# added 185.14.157.123 on 08/23/05 01:25:55
# TESTING
185.14.157.123
B)Poi puoi aggiungere una nuova linea ed inserire l'IP che vuoi bloccare. Prima che diventi attivo devi comunque riavviare APF.pico /etc/apf/deny_hosts.rules
14. Abilitare IP con APF (Sbloccare)/etc/apf/apf -r
Lo so lo so, hai aggiunto un IP e ora lo vuoi rimuovere subito. Devi rimuovere manualmente gli IP che sono bloccati da deny_hosts.rules.
A)
pico /etc/apf/deny_hosts.rules
Trova dove è indicato l'IP e rimuovi la linea dell'IP.
Dopo che lo hai fatto, salva il file e fai ripartire APF perchè le modifiche siano attive.
/etc/apf/apf -r
B) Se l'IP non è indicato in deny_hosts.rules e vuoi abilitarlo questo metodo lo aggiunge a allow_hosts.rules
/etc/apf/apf -a IPHERE COMMENTHERENOSPACES
> Il flag -a significa Abilita (ALLOW) l'indirizzo IP
> IPHERE è l'IP che vuoi abilitare
> COMMENTSHERENOSPACES è ovvio, aggiungi i commenti
Queste regole sono caricate subito nel firewall, quindi sono attive da subito
Esempio:
./apf -a 185.14.157.123 UNBLOCKING
Mostra quanto segue:
pico /etc/apf/allow_hosts.rules
# added 185.14.157.123 on 08/23/05 01:39:43
# UNBLOCKING
185.14.157.123
Rispondi Citando
Segnalibri