unix 2011-12-31 22-19-02
Установка файрволла APF - Advanced Policy Firewall.
Нет смысла обьяснять необходимость файрволла на сервере. Удачным выбором среди серверных файрволлов можно считать файрвол APF ( Advanced Policy Firewall )1. Перейдите в директорию /usr/src:
cd /usr/src
2. Скачайте актуальную версию APF:
wget http://rfxnetworks.com/downloads/apf-current.tar.gz
3. Разархивируйте файл APF tar.gz:
tar -xvzf apf-current.tar.gz
4. удалите ненужный уже tar.gz:
rm -f apf-current.tar.gz
5. Определите директорию для APF:
ls -la
Ищет директорию apf-#.#/ где #.# является версией APF устанавливаемой вами
(APF версии 0.8.7 будет в директориии apf-0.8.7 а версия 0.9 будет находится в директории apf-0.9).
6. Перейдите в директорию APF
Используйте директорию, определенную в пункте 5.
Учтите – номер версии изменяется с выходом новой версии, обратите на это внимание в случае выхода новой версии:
cd apf-0.9
7. Запустите инсталляцию APF:
sh ./install.sh
8. Перейдите в /etc/apf директорию:
cd /etc/apf
9. Отредактируйте конфигурационный файл conf.apf :
pico -w conf.apf
Для правильной работы файрволла отредактировать необходимые порты ввода/вывода.
Эти порты предназначаются для работы таких сервисов, как mail, ftp, ssh.
Common ingress (inbound) ports
# Common ingress (inbound) TCP ports -IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,3000_3500, 9999"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43,2089"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"
Для Enzim сервера это было бы:
Common ingress (inbound) ports
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53" )
10. После редактирования портов запишите файл и протестируйте файрволл:
CTRL-x ,
затем Y
для записи enter для подтверждения
11. Запустите APF:
./apf --start
или:
service apf start
12. Если APF работает верно, измените параметр DEVM на 0
pico -w conf.apf
ВНИМАНИЕ – делайте это только после проверки правильности работы фарволла!
DEVM=1 даёт вам возможность исправить неверно сконфигурированые параметры – даже если вы заблокируете сервер, DEVM=1 отключает APF через 5 минут.
DEVM="0"
13. Запишите файл и выйдите из Pico:
CTRL-x,
y,
enter
14. Перезапустите APF командой
service apf restart или /etc/rc.d/init.d/apf restart
Мониторинг
Некоторые датацентры предоставляют сервис контроля за работой вашего сервера, для этого необходимо разрешить доступ к серверу с определённых IP.
1. Для разрешения коннекта с IP xx.xx.xx.xx/24 (где xx.xx.xx.xx/24 – IP провайдера)
pico -w /etc/apf/allow_hosts.rules
2. В самый конец файла введите:
xx.xx.xx.xx/24
Не забудьте xx.xx.xx.xx/24 заменить на IP сетку провайдера (например для датацентра ThePlanet это 12.96.160.0/24 )