APF (Advanced Policy Firewall) Kurulumu
1 sayfadaki 1 sayfası
APF (Advanced Policy Firewall) Kurulumu
APF kural tabanlı bir iptables güvenlik duvarıdır.Ayarlanması ve kullanılması özellikle sunucular için çok kolaydır.
Çok etkili bir güvenlik duvarı olmakla beraber sunucuların genelinde bu güvenlik duvarı kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.
Kolay anlaşılan kural tabanlı ayar dosyası.
Bağımsız giriş ve çıkış filtreleme.
ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
Genell tcp/udp port ve icmp tipi ayarlar
Sistemdeki her ip için özel yapılandırma.
icmp ataklarını önlemek için icmp tabanlı koruma sistemi
antidos yazılımı
dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
Kolay yönetilebilir bir güvenlik duvarı yazılımı.
Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
APF ile uyumlu 3. parti uygulamaları.
Kurulum
/usr/local/src dizinine giriyoruz
cd /usr/local/src
Dosyamızı Servera çekiyoruz
wget [Linkleri görebilmek için üye olun veya giriş yapın.]
Sıkıştırılmış arşiv dosyasını açıyoruz.
tar -xvzf apf-current.tar.gz
Uygulamanın bulunduğu dizine giriyoruz.
cd apf-*
Kurulum scriptini çalıştırıyoruz.
./install.sh
Yüklendiğine gösteren mesaj ekrana geliyor
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Ayar dosyasını açıp gerekli düzenlemeleri yapacağız
vi /etc/apf/conf.apf
İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.
DEVM=”1″
Devolopment mod olarak açıklanıyor güvenlik duvarı ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir güvenlik duvarı kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve güvenlik duvarını yeniden başlatın.
LGATE_MAC=”"
Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.
LGATE_LOG=”0″
Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.
EN_VNET=”0″
Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.
TIF=”"
Güvenilen ağlar .
DROP_LOG=”1″
Kernel tabanlı loglama.
LRATE=”60″
Iptables in dakikada logladığı olay sayısı.
IG_TCP_CPORTS=”22″
S istemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.
IG_UDP_CPORTS=”"
İçeriye açılıcak udp portlarını gösterir.
EGF=”0″
Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.
EG_TCP_CPORTS=”22″
Sitemden dışarıya açılacak tcp portları.
EG_UDP_CPORTS=”"
Sistemden dışarıya açılıcak udp portları.
USE_DS=”0″
Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.
Ayar dosyamızı açıyoruz:
vi /etc/apf/conf.apf
Asagidaki Parametreleri Uyguluyoruz Burda dikkat edilmesi Gereken Husus Serverin Kullanmış Oldugu Servis Portlarını Kapatmamanız örnek Olarak Serverınizin Shell Girişini 22 Nolu Portdan kullaniyorsaniz IG_TCP_CPORTS ve EG_TCP_CPORTS dan izin Verilmesi Lazşm Aksi Halde Root girişiniz Firewall Tarafından Bloklanacaktır Ayni Durum Diger serves portları ilede gecerli smtp,apache,mysql gibi
—-Ensim —–
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
IG_UDP_CPORTS=”53″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,53,80,110,443″
EG_UDP_CPORTS=”20,21,53″
—-Plesk —–
IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,9 93,995,8443″
IG_UDP_CPORTS=”37,53,873″
EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465 ,873″
EG_UDP_CPORTS=”53,873″
—- Direct ADmin —–
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,2222,800 0,8050,8005,3784″
IG_UDP_CPORTS=”21,53,8000,8050,8005,3784″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,37,43,53,80,443,8000,8050, 8005,3784″
EG_UDP_CPORTS=”20,21,53,8000,8050,8005,3784″
Son Olarakta APF mizi Çalıştırıyoruz
/usr/local/sbin/apf -s
SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz. Eğer herhangi bir sorunla karşılaşırda giremezseniz güvenlik duvarı kurallarının 5 dakika içinde silineceğini unutmayın.
Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık güvenlik duvarı kuralları 5 dakikada bir temizlenmeyecektir:
pico /etc/apf/conf.apf
DEVM=”1″ olan kısımı bulup DEVM=”0″ değiştiriyorsunuz.
/usr/local/sbin/apf -r
komutu ile tekrar başlatıyoruz…
Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
chkconfig –level 2345 apf on
Çok etkili bir güvenlik duvarı olmakla beraber sunucuların genelinde bu güvenlik duvarı kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.
Kolay anlaşılan kural tabanlı ayar dosyası.
Bağımsız giriş ve çıkış filtreleme.
ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
Genell tcp/udp port ve icmp tipi ayarlar
Sistemdeki her ip için özel yapılandırma.
icmp ataklarını önlemek için icmp tabanlı koruma sistemi
antidos yazılımı
dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
Kolay yönetilebilir bir güvenlik duvarı yazılımı.
Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
APF ile uyumlu 3. parti uygulamaları.
Kurulum
/usr/local/src dizinine giriyoruz
cd /usr/local/src
Dosyamızı Servera çekiyoruz
wget [Linkleri görebilmek için üye olun veya giriş yapın.]
Sıkıştırılmış arşiv dosyasını açıyoruz.
tar -xvzf apf-current.tar.gz
Uygulamanın bulunduğu dizine giriyoruz.
cd apf-*
Kurulum scriptini çalıştırıyoruz.
./install.sh
Yüklendiğine gösteren mesaj ekrana geliyor
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Ayar dosyasını açıp gerekli düzenlemeleri yapacağız
vi /etc/apf/conf.apf
İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.
DEVM=”1″
Devolopment mod olarak açıklanıyor güvenlik duvarı ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir güvenlik duvarı kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve güvenlik duvarını yeniden başlatın.
LGATE_MAC=”"
Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.
LGATE_LOG=”0″
Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.
EN_VNET=”0″
Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.
TIF=”"
Güvenilen ağlar .
DROP_LOG=”1″
Kernel tabanlı loglama.
LRATE=”60″
Iptables in dakikada logladığı olay sayısı.
IG_TCP_CPORTS=”22″
S istemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.
IG_UDP_CPORTS=”"
İçeriye açılıcak udp portlarını gösterir.
EGF=”0″
Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.
EG_TCP_CPORTS=”22″
Sitemden dışarıya açılacak tcp portları.
EG_UDP_CPORTS=”"
Sistemden dışarıya açılıcak udp portları.
USE_DS=”0″
Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.
Ayar dosyamızı açıyoruz:
vi /etc/apf/conf.apf
Asagidaki Parametreleri Uyguluyoruz Burda dikkat edilmesi Gereken Husus Serverin Kullanmış Oldugu Servis Portlarını Kapatmamanız örnek Olarak Serverınizin Shell Girişini 22 Nolu Portdan kullaniyorsaniz IG_TCP_CPORTS ve EG_TCP_CPORTS dan izin Verilmesi Lazşm Aksi Halde Root girişiniz Firewall Tarafından Bloklanacaktır Ayni Durum Diger serves portları ilede gecerli smtp,apache,mysql gibi
—-Ensim —–
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
IG_UDP_CPORTS=”53″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,53,80,110,443″
EG_UDP_CPORTS=”20,21,53″
—-Plesk —–
IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,9 93,995,8443″
IG_UDP_CPORTS=”37,53,873″
EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465 ,873″
EG_UDP_CPORTS=”53,873″
—- Direct ADmin —–
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,2222,800 0,8050,8005,3784″
IG_UDP_CPORTS=”21,53,8000,8050,8005,3784″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,37,43,53,80,443,8000,8050, 8005,3784″
EG_UDP_CPORTS=”20,21,53,8000,8050,8005,3784″
Son Olarakta APF mizi Çalıştırıyoruz
/usr/local/sbin/apf -s
SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz. Eğer herhangi bir sorunla karşılaşırda giremezseniz güvenlik duvarı kurallarının 5 dakika içinde silineceğini unutmayın.
Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık güvenlik duvarı kuralları 5 dakikada bir temizlenmeyecektir:
pico /etc/apf/conf.apf
DEVM=”1″ olan kısımı bulup DEVM=”0″ değiştiriyorsunuz.
/usr/local/sbin/apf -r
komutu ile tekrar başlatıyoruz…
Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
chkconfig –level 2345 apf on
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz