Установка Advanced Policy Firewall

APF это основаный на iptables фаервол созданный специально для защиты Linux серверов. Конфигурирование его информативно и легко. Его основные характеристики:

— подробный и хорошо прокомментировал файл конфигурации
— детализация входящий и исходящий сетевой фильтрации
— фильтрация на основе идетификатора пользователя
— фильтрация на основе приложений
— файл с правилами доверия
— глобальная система доверия, где правила могут быть загружены с центрального сервера управления
— мгновенная адрес блокировка (RAB), следующего поколения в области предупреждения вторжений
— режим отладки для тестирования и конфигурации новых функций
— быстрая загрузка , которая позволяет за 1 сек загрузить более 1000 правил
— входящие и исходящие сетевые интерфейсы могут быть настроены независимо
— возможность гибкой настройки правил для каждого IP отдельно
— лимитирование пакетов, что уменьшает вероятность злоупотребления, например таких пакетов как icmp
— PREROUTING и POSTROUTING правил для оптимальной производительности сети
— поддержка черного списка dshield.org
— поддержка черного списка Spamhaus, что поможет в борьбе против “hijacked zombie” IP-блоков
— любой интерфейс может быть настроен как надежный или нет
— интеллектуальная проверка маршрута для предотвращения ошибок конфигурации
— усовершенствованная проверка поведения трафика
— защита от атак, таких как fragmented UDP, port zero floods, stuffed routing, arp poisoning и многое другое
— возможность настройки приоритетов в зависимсти от типа трафика
— настройки по умолчанию для удовлетворения каждый день установки сервера
— дополнительная фильтрация P2P-приложений
— дополнительная фильтрация частного и зарезервированого адресного пространства IP
— отслеживание количества соединений для маштабирования настроек фаервола под размеры вашей сети
— настройка ядра для усилинения системы против syn-flood атак & routing abuses
— расширенный контроль за сетью, уведомление о заторах и управление переполнением
— вспомогательные цепочки для FTP DATA и SSH соединений, чтобы предотвратить проблемы на стороне клиента
— логирование всех внесенных изменений в фаерволе
— детальная проверка ошибок запуска
— если вы знакомы с Netfilter вы можете создавать свои собственные правила в любом из файлов политики
— возможность использовать QoS алгоритм, предоставляемый вLinux
— потдержка плагинов

Инстоляция достаточно простая. Скачиваем последнию версию APF сайта

wget http://www.r-fx.ca/downloads/apf-current.tar.gz
tar -xvf ./apf-current.tar.gz
cd apf-*
./install.sh

Далее, в конфигурационном файле /etc/apf/apf.conf необходимо сделать некоторые правки.
Каждый параметр в конфигурационном файле достаточно подробно расписан и разобраться за что он отвечает, думаю, не составит особого труда.
Некоторые моменты:

DEVEL_MODE=»1″

включается для проверки работоспособности фаирвола. Если все настроено правильно, данный параметр нужно установить в «0», иначе фаирвол будет остановлен через 5 минут после старта.

Назначаем интерфейс интернета:

IFACE_IN=»eth0″
IFACE_OUT=»eth0″

назначаем внутренний довереный интерфейс:

IFACE_TRUSTED=»eth1″

Описываем входящие порты:

IG_TCP_CPORTS=»20,21,25,47,53,80,110,143,443,465,993,995,1723″

И включаем Spamhaus, Dshield и Honey Pot Project

DLIST_PHP=»1″
DLIST_SPAMHAUS=»1″
DLIST_DSHIELD=»1″

Если вам необходимо добавить какое-то правило PRE или POST routing, откройте файл postrouting.rules или prerouting.rules соответственно и добавьте например:

iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE

Если вам нужно добавить общее правило, то отредактируйте файл main.rules. Как пример давайте добавим правила для работы PopTop VPN:

iptables -A INPUT -p tcp —dports 1723 -m state —state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -p tcp —dports 1723 -m state —state NEW,ESTABLISHED -j ACCEPT

Случайные Статьи

Loading…


Количество просмотров :10867

Оставьте коментарий