<b>出处 菜鸟油 ( <a href="http://www.noobu.com" target="_blank" style="text-decoration: underline" style="color:blue">http://www.noobu.com</a> ) 作者：沧蓝  欢迎转载，转载请注明出处与作者，谢谢</b><br />&lt;推荐&gt; 本文的完美排版/最后更新修正版本：http://www.noobu.com/0505_apf_firewall.htm  &lt;推荐&gt;<br /><br /><br />什么是APF？<br /><br />APF: Advanced Policy Firewall，是 Rf-x Networks 出品的Linux环境下的软件防火墙。APF采用Linux系统默认的 iptables 规则。APF可以算是Linux中最出名的软件防火墙之一。<br /><br /><br />下载最新版的APF：<br /><br />wget <a href="http://www.rfxnetworks.com/downloads/apf-current.tar.gz" target="_blank" style="text-decoration: underline" style="color:blue">http://www.rfxnetworks.com/downloads/apf-current.tar.gz</a><br /><br />解压：<br /><br />tar -xzvf apf-current.tar.gz<br /><br />进入APF目录：<br /><br />cd apf-版本<br /><br />安装！<br /><br />./install.sh<br /><br />安装完以后，开始配置APF：<br /><br />nano /etc/apf/conf.apf<br /><br />查找（ctrl + w） USE_DS=”0″ ，将之更改为 USE_DS=”1″ ；查找 USE_AD=”0″ ，将之更改为 USE_AD=”1″ 。<br /><br />然后开始配置最主要的部分：端口。<br /><br />以下提供 cPanel, Ensim 和 Plesk 的推荐配置。<br /><br />cPanel<br />IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″<br />IG_UDP_CPORTS=”21,53,873″<br /><br />EGF=”1″<br />EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″<br />EG_UDP_CPORTS=”20,21,37,53,873″<br /><br /><br />Ensim<br />IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″<br />IG_UDP_CPORTS=”53″<br /><br />EGF=”1″<br />EG_TCP_CPORTS=”21,22,25,53,80,110,443″<br />EG_UDP_CPORTS=”20,21,53″<br /><br />Plesk <br />IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″<br />IG_UDP_CPORTS=”37,53,873″<br /><br />EGF=”1″<br />EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″<br />EG_UDP_CPORTS=”53,873″<br /><br />下面列出常规的端口，方便大家进行配置：<br /><br />21/tcp ftp<br />22/tcp ssh<br />25/tcp smtp<br />26/tcp 备用smtp端口<br />80/tcp http<br />110/tcp pop3<br />143/tcp imap<br />443/tcp https<br />993/tcp imaps<br />995/tcp pop3s<br />3306/tcp mysql<br />5432/tcp postgres<br />53/udp dns<br /><br />配置完成后保存退出，并启动APF防火墙：<br /><br />/usr/local/sbin/apf -s<br /><br />请注意，此时防火墙是运行在调试模式，每五分钟重洗配置。这样能避免因为错误的配置而使服务器瘫痪。<br /><br />确保配置无误后，再次进入配置文件（nano /etc/apf/conf.apf），将 DEVM=”1″ 更改为 DEVM=”0″ 。这样APF就会运行在常规模式下。<br /><br />重启APF（/usr/local/sbin/apf -s）。<br /><br />注意事项：如果你的Linux内核将iptables直接编译而非模块模式的话，请将配置文件中的 MONOKERN=”0″ 更改为 MONOKERN=”1″ 。<br /><br />可选配置：<br />APF有个新的功能便是防止DoS攻击（/etc/apf/ad）。其日志文件保存在/var/log/apfados_log。<br /><br />下面我们将配置APF使其遇到DoS后发送电子邮件给管理员。<br /><br />打开配置文件：<br /><br />nano -w /etc/apf/ad/conf.antidos<br /><br />查找 [E-Mail Alerts] 。<br /><br />CONAME=”Your Company” 为你的网站或公司名称。<br /><br />将 USR_ALERT=”0″ 更改为 USR_ALERT=”0″ ，从而使系统发送电子邮件。<br /><br />USR=”your@email.com” 为你的电子邮件地址。<br /><br />保存并退出，重启APF（/usr/local/sbin/apf -r）。<br /><br />另外，如果需要让系统每次重新启动后自动运行APF，则执行以下命令：<br /><br />chkconfig --level 2345 apf on<br /><br />需要去除自动启动的话：<br /><br />chkconfig --del apf<br /><br />最后，感谢 Rf-x Networks 给大家带来一款优秀的软件防火墙。也希望大家都能顺利的为自己的Linux架设起一道有效的安全屏障。<br />