Press "Enter" to skip to content

Advanced Policy Firewall (APF)

Advanced Policy Firewall (APF) IPTables’a bir alternatif olan APF’yi nasıl kurabileceğiniz ve yapılandırabileceğinizi anlatmaya çalışacağım.

Kurulum
APF ile arşivi indirip çıkartmaya başlayacağız:

wget http://www.rfxn.com/downloads/apf-current.tar.gz
tar -zxvf http://www.rfxn.com/downloads/apf-current.tar.gz
cd apf*
sh ./install.sh

Yükleme tamamlandıktan sonra APF, yürütülebilir ve yapılandırma dosyalarının yerlerinin yanı sıra sistemimizde kullanıldığı tespit edilen bağlantı noktalarını görüntüler. Hataları önlemek için sayıların doğru olduğunu doğrulamanız gerekir.

Yapılandırma
APF’nin temel konfigürasyon dosyası /etc/apf/conf.apf şeklindedir, bu şekilde düzenleyelim:

nano -w /etc/apf/conf.apf

Yapılandırma dosyası oldukça iyi yorumlanmıştır, bu nedenle hangi işlevlerin belirli işlevlerden sorumlu olduğunu anlamak zor değildir. Hatırlamanız gereken şey, varsayılan olarak her şey kilitlidir ve APF’yi, kullanmak zorunda olduğunuz bağlantı noktalarını açacak şekilde yapılandırmanız gerekir.

DEVEL_MODE = “1” – Ayarlardan memnun kalana kadar bu seçeneği 1 olarak ayarladığınızdan emin olun. Test modu olarak kullanılır ve sorunsuz yapılandırma yapana kadar 1 olarak bırakın 5 dakikada bir APF resetler bu şekilde.

SET_MONOKERN = “0” – APF monolitik çekirdekleri destekler.

IFACE_IN = “eth0” ve IFACE_OUT = “eth0” – ağa bağlı, çoğunlukla İnternetin güvenilmeyen arabirimleri.

IG_TCP_CPORTS = “20,21,22,25,26,37,43,53,80,501,113,143,443,465,873,993,995,2077,2078,2082,2083,2086,2087,2095,2096,3306,6666” – gelen TCP bağlantı noktaları açılıyor.

IG_UDP_CPORTS = “53.6277” – Açılacak gelen UDP portları

IG_ICMP_TYPES = “3,5,11,30” – gelen ICMP bağlantı noktası numaraları. 0 ve 8 numaralı bağlantı noktalarını kaldırır, böylece sunucu herhangi bir isteği cevaplamayacak ağ üzerinde neyin kısmen gizleneceğini belirler.

EG_TCP_CPORTS=”21,25,37,53,80,110,113,#123,443,43,873,953,2089,2703″ – giden TCP bağlantı noktaları açmak için. Bu noktada SSH gibi bazı hizmetleri bloke ederek sistemimize giren ve diğer sunuculara bağlanmak isteyen hackerları durdurma imkânı buluyoruz.

EG_UDP_CPORTS=”20,21,53,873,953,6277″ – giden UDP bağlantı noktası numaraları.

TCP_STOP = “DROP” – kuralları ihlal eden TCP bağlantılarında bir tepki tanımlar.

UDP_STOP = “DROP” – kuralları ihlal eden UDP bağlantıları durumunda bir reaksiyon tanımlıyor.

ALL_STOP = “DROP” – diğer bağlantılara tepki tanımlar

UDP durumunda TCP / IP sıfırlama (RESET) gönderebilir, cevaplamadan (DROP) paketi bırakabilir, reddedebilir (REJECT) veya icmp-host-yasaklı yanıt (KORUYUCU) gönderebiliriz.

BLK_PRVNET = “1” – tüm özel ipv4 adreslerini engeller. Makineniz NAT’ın arkasında ise, bunu 0 olarak ayarlayın.

APF çok zengin özelliklere sahip olduğu için daha fazla yapılandırma seçeneği öğrenip uygulama yapabilirsiniz bu konuda size bir kısıtlama yapmaz yeni kurallar ekleyip çıkarabilirsiniz.

Test yapalım
DEVEL_MODE seçeneğini aklınızda bulundurursak APF’yi şöyle başlatırız:

/usr/local/sbin/apf -s

Aşağıdaki parametreleri kullanabilirsiniz:

-s – APF Başlat

-r – APF yenniden başlat (reset)

-f – APF Kapat

-l – İstatistikler

-st – APF Durum

-a host – “host” bağlantılarına izin ver

-d host –  “host” bağlantılarını engelle

Şimdi, güvenlik duvarımızı, nmap veya başka herhangi bir araç gibi bir port tarayıcı ile test edebiliriz. Herhangi bir sorunla karşılaşırsak uzaktan düzeltebiliriz çünkü Cron her 5 dakikada bir kuralları boşaltacaktır.

Artık güvenlik duvarının çalıştığını ve ihtiyacımız olan bağlantı noktalarını engellemediğinden emin olduğumuzdan, yapılandırma dosyasındaki DEVEL_MODE = “1” seçeneğini 0’a değiştirebilir ve APF’yi yeniden başlatabiliriz.

Yararlı linkler;

Buna benzer diğer yazılarım

Siteden Virüs Temizleme yolları Merhabalar dostlar, Bu aralar birkaç kişiseden sıkça bu soruyu aldım "Siteme virüs bulaştı ne yapmalıyım" en son isim vermeyeceğim değerli bir abinin ...
CSF Kurulum ve ayarları (İnce ayarlar) CSF (Config Server Firewall) en detaylı anlatımı CSF (Config Server Firewall) için piyasada birsürü optimizasyon ayarları var incelediğimde birçoğ...
WordPress 2 aşamalı Admin Panel Dünyada her gün 180,000 civarı site açılıyor bu sitelerin yine çoğunluğunu WordPress omuzluyor, Peki WordPress sistem olarak çok kolay yönetilebilir a...
CentOS 7’de Otomatik Güvenlik Güncelleştirme... Merhabalar efendim, CentOS 7'de Otomatik Güvenlik Güncelleştirmelerini Kurma yazımda Güvenlik güncellemeleri, çoğunuzun kabul edeceği gibi, çok önemli...
My.cnf Optimizasyon Merhabalar, My.cnf (Mysql ayar dosyası) üzerinde birkaç ayar ile sunucunun mysql kullanım şekline birkaç ekleme yaparak daha verimli bir veritabanına ...
CentOS 7 Ossec Kurulumu Merhabalar efenim, Bu yazıda Musab Yardım'ın yazdığı CentOS 7 Ossec Kurulumu adlı makalesini sizinle paylaşmak istedim, geçenlerde kurulumunu yapt...

Bu yazı 478 Defa okundu. Diğer yazılarımı da oku süper yazarım :)

||||

Ali Çömez
Ali Çömez

Kaldırımda yürürken beyaz çizgilere basmamaya çalışan, Sabah yüzünü yıkarken dirseklerinden su sızmasından nefret eden, Dönerle ayranı aynı anda bitirebilen, son dakikada otobüsü kaçırsada grur yapıp arkasından koşmayan... bir insanım :)

View all posts

One Comment

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir