APF防火墙的安装和使用

晴川运维 • 2025年6月10日下午1:10 • Linux系统

APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大部分Linux服务器管理员所采用,使用iptables的规则,易于理解及使用。

下载，安装apf

root@linux:/home/zhangy# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

root@linux:/home/zhangy# tar -xvzf apf-current.tar.gz

root@linux:/home/zhangy# cd apf-9.7-1

root@linux:/home/zhangy/apf-9.7-1# ./install.sh

安装成功的提示信息如下：

root@linux:/home/zhangy/apf-9.7-1# ./install.sh

Installing APF 9.7-1: Completed.

Installation Details:

Install path: /etc/apf/

Config path: /etc/apf/conf.apf

Executable path: /usr/local/sbin/apf

Other Details:

Listening TCP ports: 22,25,111,3306,53976

Listening UDP ports: 111,917,936,5353,49640,54744

Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

配置apf

vim /etc/apf/conf.apf

IG_TCP_CPORTS="21,22,80,443,3306,8080" //设置服务器允许被访问的TCP端口IG_UDP_CPORTS="53" //设置服务器允许被访问的UDP端口EG_TCP_CPORTS="21,25,80,443,43,2089" //设置服务器允许对外访问的TCP端口EG_UDP_CPORTS="20,21,53" //设置服务器允许对外访问的UDP端口

DEVEL_MODE="1" 改为 DEVEL_MODE="0"

DLIST_SPAMHAUS="0" 改为 DLIST_SPAMHAUS="1"

DLIST_DSHIELD="0" 改为 DLIST_DSHIELD="1"

配置过程中要注意以下几点：

1,根据不同的服务器开放不同的端口，web服务器根mysql服务器开放的端口肯定不一样。

2,DEVEL_MODE=”1″表示在调试模式下，每五分钟重调配置，这样能避免因为错误的配置而使服务器崩溃。

3,设置只通许192.168.1.139远程连接22端口

// 在/etc/apf/allow_hosts.rules添加如下信息：tcp:in:d=22:s=192.168.1.139

out:d=22:d=192.168.1.139

// 在/etc/apf/deny_hosts.rules添加如下信息：

tcp:in:d=22:s=0/0

out:d=22:d=0/0

开始的时候，我以为只要在allow_hosts.rules里面加就行了，改过一后，我换了一个IP，已然可以连接，搞得我很无语。后在deny_hosts.rules加上了上面的规则后，在连接时就提示超时了。allow_hosts.rules和deny_hosts.rules里面都加了规则后，重起apf会提示配置成功的信息，偶然发现的。

apf(12234): {trust} allow outbound 192.168.1.139 to port 22

apf(12234): {trust} allow inbound tcp 192.168.1.139 to port 22

apf的常用命令

apf -s // 启动APF防火墙

apf -r // 重启APF防火墙

apf -f // 刷新APF防火墙配置文件

apf -l // 列出APF的过虑规则

apf -t // APF的日志信息

apf -e // 将域名解释加入信认规则

apf -a // 将IP/IP段添加到白名单

apf -d // 将IP/IP段添加到黑名单

apf -u // 将IP/IP段从白/黑名单中删除

apf -o // 将IP/IP段从白/黑名单中删除

常用端口列表

21/tcp //ftp

22/tcp //ssh

25/tcp //smtp

53/udp //dns

80/tcp //http

110/tcp //pop

3143/tcp //imap

443/tcp //https

993/tcp //imaps

995/tcp //pop3

3306/tcp //mysql

5432/tcp //postgresql

原创文章，作者：晴川运维，如若转载，请注明出处：https://baike.qcidc.com/7779.html

APF防火墙的安装和使用

下载，安装apf

配置apf

apf的常用命令

常用端口列表

相关推荐

发表回复