APF это основаный на iptables фаервол созданный специально для защиты Linux серверов. Конфигурирование его информативно и легко. Его основные характеристики:
— подробный и хорошо прокомментировал файл конфигурации
— детализация входящий и исходящий сетевой фильтрации
— фильтрация на основе идетификатора пользователя
— фильтрация на основе приложений
— файл с правилами доверия
— глобальная система доверия, где правила могут быть загружены с центрального сервера управления
— мгновенная адрес блокировка (RAB), следующего поколения в области предупреждения вторжений
— режим отладки для тестирования и конфигурации новых функций
— быстрая загрузка , которая позволяет за 1 сек загрузить более 1000 правил
— входящие и исходящие сетевые интерфейсы могут быть настроены независимо
— возможность гибкой настройки правил для каждого IP отдельно
— лимитирование пакетов, что уменьшает вероятность злоупотребления, например таких пакетов как icmp
— PREROUTING и POSTROUTING правил для оптимальной производительности сети
— поддержка черного списка dshield.org
— поддержка черного списка Spamhaus, что поможет в борьбе против “hijacked zombie” IP-блоков
— любой интерфейс может быть настроен как надежный или нет
— интеллектуальная проверка маршрута для предотвращения ошибок конфигурации
— усовершенствованная проверка поведения трафика
— защита от атак, таких как fragmented UDP, port zero floods, stuffed routing, arp poisoning и многое другое
— возможность настройки приоритетов в зависимсти от типа трафика
— настройки по умолчанию для удовлетворения каждый день установки сервера
— дополнительная фильтрация P2P-приложений
— дополнительная фильтрация частного и зарезервированого адресного пространства IP
— отслеживание количества соединений для маштабирования настроек фаервола под размеры вашей сети
— настройка ядра для усилинения системы против syn-flood атак & routing abuses
— расширенный контроль за сетью, уведомление о заторах и управление переполнением
— вспомогательные цепочки для FTP DATA и SSH соединений, чтобы предотвратить проблемы на стороне клиента
— логирование всех внесенных изменений в фаерволе
— детальная проверка ошибок запуска
— если вы знакомы с Netfilter вы можете создавать свои собственные правила в любом из файлов политики
— возможность использовать QoS алгоритм, предоставляемый вLinux
— потдержка плагинов
Инстоляция достаточно простая. Скачиваем последнию версию APF сайта
tar -xvf ./apf-current.tar.gz
cd apf-*
./install.sh
Далее, в конфигурационном файле /etc/apf/apf.conf необходимо сделать некоторые правки.
Каждый параметр в конфигурационном файле достаточно подробно расписан и разобраться за что он отвечает, думаю, не составит особого труда.
Некоторые моменты:
включается для проверки работоспособности фаирвола. Если все настроено правильно, данный параметр нужно установить в «0», иначе фаирвол будет остановлен через 5 минут после старта.
Назначаем интерфейс интернета:
IFACE_OUT=»eth0″
назначаем внутренний довереный интерфейс:
Описываем входящие порты:
И включаем Spamhaus, Dshield и Honey Pot Project
DLIST_SPAMHAUS=»1″
DLIST_DSHIELD=»1″
Если вам необходимо добавить какое-то правило PRE или POST routing, откройте файл postrouting.rules или prerouting.rules соответственно и добавьте например:
Если вам нужно добавить общее правило, то отредактируйте файл main.rules. Как пример давайте добавим правила для работы PopTop VPN:
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -p tcp —dports 1723 -m state —state NEW,ESTABLISHED -j ACCEPT