Press "Enter" to skip to content

Advanced Policy Firewall (APF)

Advanced Policy Firewall (APF) IPTables’a bir alternatif olan APF’yi nasıl kurabileceğiniz ve yapılandırabileceğinizi anlatmaya çalışacağım.

Kurulum
APF ile arşivi indirip çıkartmaya başlayacağız:

wget http://www.rfxn.com/downloads/apf-current.tar.gz
tar -zxvf http://www.rfxn.com/downloads/apf-current.tar.gz
cd apf*
sh ./install.sh

Yükleme tamamlandıktan sonra APF, yürütülebilir ve yapılandırma dosyalarının yerlerinin yanı sıra sistemimizde kullanıldığı tespit edilen bağlantı noktalarını görüntüler. Hataları önlemek için sayıların doğru olduğunu doğrulamanız gerekir.

Yapılandırma
APF’nin temel konfigürasyon dosyası /etc/apf/conf.apf şeklindedir, bu şekilde düzenleyelim:

nano -w /etc/apf/conf.apf

Yapılandırma dosyası oldukça iyi yorumlanmıştır, bu nedenle hangi işlevlerin belirli işlevlerden sorumlu olduğunu anlamak zor değildir. Hatırlamanız gereken şey, varsayılan olarak her şey kilitlidir ve APF’yi, kullanmak zorunda olduğunuz bağlantı noktalarını açacak şekilde yapılandırmanız gerekir.

DEVEL_MODE = “1” – Ayarlardan memnun kalana kadar bu seçeneği 1 olarak ayarladığınızdan emin olun. Test modu olarak kullanılır ve sorunsuz yapılandırma yapana kadar 1 olarak bırakın 5 dakikada bir APF resetler bu şekilde.

SET_MONOKERN = “0” – APF monolitik çekirdekleri destekler.

IFACE_IN = “eth0” ve IFACE_OUT = “eth0” – ağa bağlı, çoğunlukla İnternetin güvenilmeyen arabirimleri.

IG_TCP_CPORTS = “20,21,22,25,26,37,43,53,80,501,113,143,443,465,873,993,995,2077,2078,2082,2083,2086,2087,2095,2096,3306,6666” – gelen TCP bağlantı noktaları açılıyor.

IG_UDP_CPORTS = “53.6277” – Açılacak gelen UDP portları

IG_ICMP_TYPES = “3,5,11,30” – gelen ICMP bağlantı noktası numaraları. 0 ve 8 numaralı bağlantı noktalarını kaldırır, böylece sunucu herhangi bir isteği cevaplamayacak ağ üzerinde neyin kısmen gizleneceğini belirler.

EG_TCP_CPORTS=”21,25,37,53,80,110,113,#123,443,43,873,953,2089,2703″ – giden TCP bağlantı noktaları açmak için. Bu noktada SSH gibi bazı hizmetleri bloke ederek sistemimize giren ve diğer sunuculara bağlanmak isteyen hackerları durdurma imkânı buluyoruz.

EG_UDP_CPORTS=”20,21,53,873,953,6277″ – giden UDP bağlantı noktası numaraları.

TCP_STOP = “DROP” – kuralları ihlal eden TCP bağlantılarında bir tepki tanımlar.

UDP_STOP = “DROP” – kuralları ihlal eden UDP bağlantıları durumunda bir reaksiyon tanımlıyor.

ALL_STOP = “DROP” – diğer bağlantılara tepki tanımlar

UDP durumunda TCP / IP sıfırlama (RESET) gönderebilir, cevaplamadan (DROP) paketi bırakabilir, reddedebilir (REJECT) veya icmp-host-yasaklı yanıt (KORUYUCU) gönderebiliriz.

BLK_PRVNET = “1” – tüm özel ipv4 adreslerini engeller. Makineniz NAT’ın arkasında ise, bunu 0 olarak ayarlayın.

APF çok zengin özelliklere sahip olduğu için daha fazla yapılandırma seçeneği öğrenip uygulama yapabilirsiniz bu konuda size bir kısıtlama yapmaz yeni kurallar ekleyip çıkarabilirsiniz.

Test yapalım
DEVEL_MODE seçeneğini aklınızda bulundurursak APF’yi şöyle başlatırız:

/usr/local/sbin/apf -s

Aşağıdaki parametreleri kullanabilirsiniz:

-s – APF Başlat

-r – APF yenniden başlat (reset)

-f – APF Kapat

-l – İstatistikler

-st – APF Durum

-a host – “host” bağlantılarına izin ver

-d host –  “host” bağlantılarını engelle

Şimdi, güvenlik duvarımızı, nmap veya başka herhangi bir araç gibi bir port tarayıcı ile test edebiliriz. Herhangi bir sorunla karşılaşırsak uzaktan düzeltebiliriz çünkü Cron her 5 dakikada bir kuralları boşaltacaktır.

Artık güvenlik duvarının çalıştığını ve ihtiyacımız olan bağlantı noktalarını engellemediğinden emin olduğumuzdan, yapılandırma dosyasındaki DEVEL_MODE = “1” seçeneğini 0’a değiştirebilir ve APF’yi yeniden başlatabiliriz.

Yararlı linkler;

Buna benzer diğer yazılarım

Centos xCache kurulum Merhabalar, Bu yazıda size Centos xCache kurulum bahsedeceim. xCache nedir ; Lighttpd yazılımcıları tarafından geliştirilen Lİnux ve Windows platfo...
CentOS 7’de Otomatik Güvenlik Güncelleştirme... Merhabalar efendim, CentOS 7'de Otomatik Güvenlik Güncelleştirmelerini Kurma yazımda Güvenlik güncellemeleri, çoğunuzun kabul edeceği gibi, çok önemli...
Centos’a AVG Scan Kurulum ve kullanım Merhabalar dostlar, bu yazıda Centos'a AVG Scan Kurulum ve kullanım hakkında birkaç bişeyler yazıp izeceğiz inşallah hayırlı olması dileğiyle. Önce...
Ülke geneline gelen saldırılar hakkında erhabalar efenim, Ülke geneline gelen saldırılar hakkında biraz istişare yapalım. Öncelikle bu konu forumlarda sık tartışılır olduğu için bu yazıyı...
Easy Linux Security Merhabalar arkadaşlar. Bu makalede sizlere Easy Linux Security nedir ne işe yarar ve tabiki nasıl kullanılır ? sorularına çözüm bulacağız. ELS Ned...
Default Php.ini kullanmaya zorlama Merhabalar dostlar, bu yazıda centos sunucular üzerinde güvenliği bir üst seviyeye çekmek için güzel bir önlem olan Default Php.ini kullanmaya zorlama...

Bu yazı 393 Defa okundu. Diğer yazılarımı da oku süper yazarım :)

||||

Ali Çömez
Ali Çömez

Kaldırımda yürürken beyaz çizgilere basmamaya çalışan, Sabah yüzünü yıkarken dirseklerinden su sızmasından nefret eden, Dönerle ayranı aynı anda bitirebilen, son dakikada otobüsü kaçırsada grur yapıp arkasından koşmayan... bir insanım :)

View all posts

One Comment

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir