AI 助理
备案控制台
开发者社区 数据库 文章 正文

Linux 防火墙策略——APF

2013-09-18 1595
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
简介: APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大部分Linux服务器管理员所采用,使用iptables的规则,易于理解及使用。

APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大部分Linux服务器管理员所采用,使用iptables的规则,易于理解及使用。

适合对iptables不是很熟悉的人使用,因为它的安装配置比较简单,但是功能还是非常强大的。

一,下载,安装apf

查看复制打印?
  1. root@linux:/home/zhangy# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz  
  2. root@linux:/home/zhangy# tar -xvzf apf-current.tar.gz  
  3. root@linux:/home/zhangy# cd apf-9.7-1  
  4. root@linux:/home/zhangy/apf-9.7-1# ./install.sh  

安装成功的提示信息如下:

root@linux:/home/zhangy/apf-9.7-1# ./install.sh
Installing APF 9.7-1: Completed.

Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf

Other Details:
Listening TCP ports: 22,25,111,3306,53976
Listening UDP ports: 111,917,936,5353,49640,54744
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

二,配置apf

vim /etc/apf/conf.apf


  1. IG_TCP_CPORTS="21,22,80,443,3306,8080"   //设置服务器允许被访问的TCP端口  
  2. IG_UDP_CPORTS="53"                       //设置服务器允许被访问的UDP端口  
  3. EG_TCP_CPORTS="21,25,80,443,43,2089"     //设置服务器允许对外访问的TCP端口  
  4. EG_UDP_CPORTS="20,21,53"                 //设置服务器允许对外访问的UDP端口  
  5.   
  6. DEVEL_MODE="1" 改为 DEVEL_MODE="0"  
  7. DLIST_SPAMHAUS="0" 改为 DLIST_SPAMHAUS="1"  
  8. DLIST_DSHIELD="0" 改为 DLIST_DSHIELD="1"  

配置过程中要注意以下几点:

1,根据不同的服务器开放不同的端口,web服务器根mysql服务器开放的端口肯定不一样。

2,DEVEL_MODE="1"表示在调试模式下,每五分钟重新刷空配置,这样能避免因为错误的配置把你自己也搞在了服务器外面进不去了。等配置好了,确定没有问题了,就改成0。




# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
IFACE_IN="bond1"
IFACE_OUT="bond1"


# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma separated list.
IFACE_TRUSTED="bond0"

这里的bond1、bond0和eth0、eth1类似,都是名字而已,比如bond1表示外网,是不受信任的,所以所有的传输都会提交给firewall来审核;而bond0是内网,是受信任的。

IFACE_IN and IFACE_OUT - By default, these are set to eth0; however, SoftLayer has our eth0 set to private network and our public network set to eth0. Misconfiguring these variables might result in no network connectivity. Set both variables to eth1

IFACE_TRUSTED - This variable tells the firewall to trust the listed interfaces. In our instance, we trust our eth0. Set to eth0






3,设置只通许192.168.1.139远程连接22端口


  1. // 在/etc/apf/allow_hosts.rules添加如下信息: 
  2. tcp:in:d=22:s=192.168.1.139  
  3. out:d=22:d=192.168.1.139  
  4.   
  5. // 在/etc/apf/deny_hosts.rules添加如下信息: 
  6. tcp:in:d=22:s=0/0  
  7. out:d=22:d=0/0  

开始的时候,我以为只要在allow_hosts.rules里面加就行了,改过一后,我换了一个IP,已然可以连接,搞得我很无语。后在deny_hosts.rules加上了上面的规则后,在连接时就提示超时了。allow_hosts.rules和deny_hosts.rules里面都加了规则后,重起apf会提示配置成功的信息,偶然发现的。

  1. apf(12234): {trust} allow outbound 192.168.1.139 to port 22  
  2. apf(12234): {trust} allow inbound tcp 192.168.1.139 to port 22  

三,apf的常用命令

查看
  1. apf -s  // 启动APF防火墙  
  2. apf -r  // 重启APF防火墙  
  3. apf -f  // 刷新APF防火墙配置文件  
  4. apf -l  // 列出APF的过虑规则  
  5. apf -t  // APF的日志信息。  
  6. apf -e  // 将域名解释加入信认规则  
  7. apf -a  // 将IP/IP段添加到白名单  
  8. apf -d  // 将IP/IP段添加到黑名单  
  9. apf -u  // 将IP/IP段从白/黑名单中删除  
  10. apf -o  // 将IP/IP段从白/黑名单中删除  

四,常用端口列表

查看复制打印?
  1. 21/tcp       //ftp  
  2. 22/tcp       //ssh  
  3. 25/tcp       //smtp  
  4. 53/udp       //dns  
  5. 80/tcp       //http  
  6. 110/tcp      //pop3  
  7. 143/tcp      //imap  
  8. 443/tcp      //https  
  9. 993/tcp      //imaps  
  10. 995/tcp      //pop3  
  11. 3306/tcp     //mysql  
  12. 5432/tcp     //postgresql























































































文章标签:
云防火墙
Linux
网络协议
网络安全
关系型数据库
关键词:
Linux防火墙
linux云防火墙
Linux策略
云防火墙linux
Linux防火墙策略
长烟慢慢
目录
相关文章
运维有小邓
|
2天前
|
监控 安全 Linux
启用Linux防火墙日志记录和分析功能
为iptables启用日志记录对于监控进出流量至关重要
运维有小邓
22 1
muxiaoxi
|
27天前
|
缓存 并行计算 Linux
深入解析Linux操作系统的内核优化策略
本文旨在探讨Linux操作系统内核的优化策略,包括内核参数调整、内存管理、CPU调度以及文件系统性能提升等方面。通过对这些关键领域的分析,我们可以理解如何有效地提高Linux系统的性能和稳定性,从而为用户提供更加流畅和高效的计算体验。
muxiaoxi
30 2
liuliunaina
|
27天前
|
缓存 网络协议 Linux
深入探索Linux操作系统的内核优化策略####
本文旨在探讨Linux操作系统内核的优化方法,通过分析当前主流的几种内核优化技术,结合具体案例,阐述如何有效提升系统性能与稳定性。文章首先概述了Linux内核的基本结构,随后详细解析了内核优化的必要性及常用手段,包括编译优化、内核参数调整、内存管理优化等,最后通过实例展示了这些优化技巧在实际场景中的应用效果,为读者提供了一套实用的Linux内核优化指南。 ####
liuliunaina
45 1
蓝易云
|
1月前
|
Ubuntu 安全 网络协议
ubuntu22.04防火墙策略
在Ubuntu 22.04中,配置防火墙策略是保障系统安全的关键。UFW提供了简便的界面,适合大多数用户,而iptables则提供了更为强大的功能,适合高级用户和复杂环境。通过合理设计防火墙策略,可以有效防止未经授权的访问,提升系统的安全性和稳定性。无论是通过UFW还是iptables,定期审查和更新防火墙规则都是必不可少的,以应对不断变化的安全威胁。
蓝易云
52 3
叫个什么名字
|
1月前
|
机器学习/深度学习 负载均衡 算法
深入探索Linux内核调度机制的优化策略###
本文旨在为读者揭开Linux操作系统中至关重要的一环——CPU调度机制的神秘面纱。通过深入浅出地解析其工作原理,并探讨一系列创新优化策略,本文不仅增强了技术爱好者的理论知识,更为系统管理员和软件开发者提供了实用的性能调优指南,旨在促进系统的高效运行与资源利用最大化。 ###
叫个什么名字
41 6
最好zzz
|
1月前
|
监控 关系型数据库 MySQL
Linux环境下MySQL数据库自动定时备份策略
在Linux环境下,MySQL数据库的自动定时备份是确保数据安全和可靠性的重要措施。通过设置定时任务,我们可以每天自动执行数据库备份,从而减少人为错误和提高数据恢复的效率。本文将详细介绍如何在Linux下实现MySQL数据库的自动定时备份。
最好zzz
47 3
游客5fdji2pvmf8888
|
1月前
|
监控 网络协议 算法
Linux内核优化:提升系统性能与稳定性的策略####
本文深入探讨了Linux操作系统内核的优化策略,旨在通过一系列技术手段和最佳实践,显著提升系统的性能、响应速度及稳定性。文章首先概述了Linux内核的核心组件及其在系统中的作用,随后详细阐述了内存管理、进程调度、文件系统优化、网络栈调整及并发控制等关键领域的优化方法。通过实际案例分析,展示了这些优化措施如何有效减少延迟、提高吞吐量,并增强系统的整体健壮性。最终,文章强调了持续监控、定期更新及合理配置对于维持Linux系统长期高效运行的重要性。 ####
游客5fdji2pvmf8888
114 2
萝卜带泥
|
1月前
|
安全 网络协议 Linux
Linux操作系统的内核升级与优化策略####
【10月更文挑战第29天】 本文深入探讨了Linux操作系统内核升级的重要性,并详细阐述了一系列优化策略,旨在帮助系统管理员和高级用户提升系统的稳定性、安全性和性能。通过实际案例分析,我们展示了如何安全有效地进行内核升级,以及如何利用调优技术充分发挥Linux系统的潜力。 ####
萝卜带泥
64 1
尹正杰
|
3月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
尹正杰
242 73
游客kwe6k52lwpmug
|
28天前
|
缓存 算法 Linux
Linux内核中的调度策略优化分析####
本文深入探讨了Linux操作系统内核中调度策略的工作原理,分析了不同调度算法(如CFS、实时调度)在多核处理器环境下的性能表现,并提出了针对高并发场景下调度策略的优化建议。通过对比测试数据,展示了调度策略调整对于系统响应时间及吞吐量的影响,为系统管理员和开发者提供了性能调优的参考方向。 ####
游客kwe6k52lwpmug
36 0

热门文章

最新文章

  • 1
    有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
  • 2
    网络安全的盾牌:漏洞防护与加密技术的融合之道
  • 3
    揭秘网络安全的盾牌与矛:漏洞防护与加密技术的较量
  • 4
    超越传统网络防护,下一代防火墙安全策略解读
  • 5
    启用Linux防火墙日志记录和分析功能
  • 6
    本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
  • 7
    30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
  • 8
    网络安全的护城河:漏洞防护、加密技术与安全意识
  • 9
    安全至上:Web应用防火墙技术深度剖析与实战
  • 10
    ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
  • 1
    CentOS 7 防火墙指令
    103
  • 2
    Windows操作系统中:共享文件夹以及防火墙介绍
    418
  • 3
    有状态防火墙和无状态防火墙到底有啥区别?
    217
  • 4
    【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
    1417
  • 5
    自动添加防火墙规则
    61
  • 6
    自动添加防火墙规则,开启某些服务或端口(适用于 RHEL7)
    103
  • 7
    【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
    786
  • 8
    网络守护进化论:传统防火墙与下一代防火墙的深度剖析
    673
  • 9
    firewall防火墙详解
    99
  • 10
    Linux 如何关闭防火墙(开启管理员权限)
    109

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux Web服务器Nginx搭建与配置
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • ECS操作系统无法登录诊断能力
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序
  • 手动部署MySQL数据库(Alibaba Cloud Linux 2)
  • 部署并使用Docker(Alibaba Cloud Linux 3)

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    DataWorks售前咨询