APF(Advanced Policy Firewall) Kurulumu

APF kural tabanlı bir iptables firewalldır.Ayarlanması ve kullanılması özellikle sunucular için çok kolaydır.

Özellikleri:

- Kolay anlaşılan kural tabanlı ayar dosyası.
- Bağımsız giriş ve çıkış filtreleme.
- ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
- Genell tcp/udp port ve icmp tipi ayarlar
- Sistemdeki her ip için özel yapılandırma.
- icmp ataklarını önlemek için icmp tabanlı koruma sistemi
- antidos yazılımı
- dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
- tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
- İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
- Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
- Kolay yönetilebilir firewall yazılımı.
- Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
- APF ile uyumlu 3. parti uygulamaları.

Çok etkili bir firewall olmakla beraber sunucuların genelinde bu firewall kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.

Kurulum

1.)

Kod:

/usr/local/src

dizinine geçiyoruz.

Kod:

cd /usr/local/src

2.) Dosyayı sunucuya indiriyoruz

Kod:

wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

3.)Sıkıştırılmış arşiv dosyasını açıyoruz.

Kod:

tar -xvzf apf-current.tar.gz

4.)Uygulamanın bulunduğu dizine giriyoruz

Kod:

cd apf-0.9.5-1/

5.)Kurulum scriptini çalıştırıyoruz.

Kod:

./install.sh

yüklendiğine gösteren mesaj ekrana geliyor

APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız

Kod:

pico /etc/apf/conf.apf

İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.

DEVM="1" Devolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın.

LGATE_MAC="": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.

LGATE_LOG="0": Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.

EN_VNET="0": Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.

TIF="":Güvenilen ağlar .

DROP_LOG="1": Kernel tabanlı loglama.

LRATE="60": Iptables in dakikada logladığı olay sayısı.

IG_TCP_CPORTS="22":Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.

IG_UDP_CPORTS="": İçeriye açılıcak udp portlarını gösterir.

EGF="0":Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.


EG_TCP_CPORTS="22":Sitemden dışarıya açılacak tcp portları.

EG_UDP_CPORTS="":Sistemden dışarıya açılıcak udp portları.

USE_DS="0"Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.

Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.

Kod:

pico /etc/apf/conf.apf

1.)Yazarak tekrar ayar dosyamızı açıyoruz

Kod:

USE_DS="0"
ve 3 satır altındaki

Kod:

USE_AD="0"
kısımlarını bulup

Kod:

USE_DS="1"

Kod:

USE_AD="1"

olarak değiştiriyoruz.



2.) IG_TCP_CPORTS yazan kısmı buluyoruz

içindeki portları silip aşağıdaki portları ekliyoruz

Kod:

20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096
Görünümü şu şekilde oluyor

Kod:

IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096"

3.) IG_UDP_CPORTS kısmını buluyoruz

içindeki portları silip aşağıdaki portları eklliyoruz

Kod:

21,53,873

Görünümü şu şekilde oluyor

Kod:

IG_UDP_CPORTS="21,53,873"

3.)EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.



4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:

21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089

Görünümü şu şekilde oluyor

Kod:

EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089"
 
5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:

20,21,37,53,873

Görünümü şu şekilde oluyor

Kod:

EG_UDP_CPORTS="20,21,37,53,873"

ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.

Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.

Kod:

----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"
 
EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"