APF – Advanced Policy Firewall
APF, Advanced Policy Firewall, e un firewall pentru Linux bazat pe netfilter (iptables) si are marele avantaj de a fi configurat foarte usor. Pentru ca APF sa functioneze corect trebuie instalate urmatoarele module: ip_tables, iptable_filter, iptable_mangle, ip_conntrack, ip_conntrack_irc, ip_conntrack_ftp, ipt_state, ipt_multiport, ipt_limit, ipt_recent, ipt_LOG, ipt_REJECT, ipt_ecn, ipt_length, ipt_mac, ipt_multiport, ipt_owner, ipt_state, ipt_ttl, ipt_TOS, ipt_TCPMSS, ipt_ULOG. Majoritatea distributiilor Linux au modulele respective compilate in kernel deci ar trebui ca APF sa functioneze fara probleme. Oricum, daca se intampla sa nu functioneze corect, verificati daca kernelul are suport pentru modulele de mai sus.
Instalarea e simpla:
1. Se downloadeaza ultima versiune:
wget http://www.r-fx.ca/downloads/apf-current.tar.gz
2. Se dezarhiveaza:
tar -zxvf apf-current.tar.gz
3. Se ruleaza fisierul install.sh
cd apf-0.9.6-3
./install.sh
Acum ar trebui ca firewallul sa fie instalat. Urmeaza configurarea. Configurarea APF se face in fisierul /etc/apf/conf.apf. Majoritatea optiunilor le putem lasa asa cum sunt. Directivele mai importante ar fi urmatoarele:
DEVEL_MODE – cand este pus 1 apf se opreste la fiecare 5 minute ca o metoda de protectie, pentru ca utilizatorul sa nu ramana pe din afara.
IFACE_IN si IFACE_OUT sunt interfetele de comunicare – ex. eth0.
IFACE_TRUSTED specifica interfata de comunicare pe care nu e cazul sa fie setat firewallul – de obicei e o retea locala, interna, sau o interfata pentru VPN folosita pentru administrare.
IG_TCP_CPORTS si IG_UDP_CPORTS – aici se poate adauga o lista de porturi TCP respectiv UDP pe care se vor permite cererile de conexiune – ex. “20,21,22,25,26,53,80″. Trebuie avut grija ca toate porturile pe care ruleaza un server sa fie mentionate in functie de tipul comunicatiei folosite – TCP sau UDP.
IG_ICMP_TYPES – aici putem da o lista de tipuri ICMP acceptate de firewall – ex.”3,5,11,0,30,8″. Daca dorim de exemplu ca serverul sa nu raspunda la ping vom scoate din lista 8. Orice echo request va fi ignorat.
EGF poate avea valoarea 1 sau 0 ceea ce va activa sau dezactiva filtrul de iesire.
EG_TCP_CPORTS si EG_UDP_CPORTS – analog directivelor IG_ se pot specifica porturile pe care se permite comunicarea cu serverele externe.
EG_ICMP_TYPES – specifica lista de semnale ICMP care pot fi trimise de pe server spre exterior.
Pentru o lista cu toate directivele posibile studiati fisierul README.apf care se gaseste in arhiva aplicatiei.
Mai jos pun un fisier conf.apf care il folosesc pe unul din servere in speranta ca va fi de folos:
<a href=”http://www.lamp.ro/linux/apf-advanced-policy-firewall/” title=”LAMP-APF – Advanced Policy Firewall”Click pentru a citi articolul complet-APF – Advanced Policy Firewall
Mica noastra lume 