Advanced Policy Firewall, ou APF , é basicamente uma interface para iptables, que é a interface padrão para gerenciar portas de rede em máquinas Linux. Interagir com o iptables pode ser complexo e propenso a erros, eo APF simplifica muito o trabalho com ele. No entanto, o APF ainda é acessível apenas pelo ssh. Não há nenhuma maneira de fazer alterações no APF através WHM ou cPanel.

Todos os arquivos de configuração do APF estão localizados na pasta / etc / apf no seu servidor. Dentro desta pasta o arquivo allow_hosts.rules contém todos os endereços IP que estão na lista branca para o servidor e o arquivo deny_hosts.rules contém todos os IPs que estão sendo bloqueados pelo firewall. No arquivo deny_hosts.rules , cada IP que está sendo bloqueado também deve incluir uma razão por trás do bloco (a maioria deles será bloqueada pelo bfd, o que bloqueia os IPs tentando forçar o servidor).

Para bloquear um IP no firewall, basta ssh como raiz e execute o seguinte comando:

apf -d 127.0.0.1
Se o IP tiver sido previamente incluído na lista de permissões, esse comando lhe dará este erro:

127.0.0.1 already exists in /etc/apf/allow_hosts.rules

Você precisará abrir /etc/apf/allow_hosts.rules no seu editor de texto preferido e remover o IP antes de poder bloqueá-lo no firewall. Se a configuração for mais recente, este comando pode funcionar para obter o IP de allow_hosts.rules:

apf -u 127.0.0.1

Iniciar, parar e reiniciar o APF pode ser feito facilmente através da linha de comando:

Apf -s Isto irá iniciar apf se não estiver em execução.

Apf -r Isto irá reiniciar apf.

Apf -f Isso irá parar o apf e liberar todas as regras do firewall.

Lista branca de um IP

Se você tem um endereço IP que você gostaria de nunca ser adicionado ao firewall (também conhecido como whitelisting), basta executar este comando como root:

apf -a 127.0.0.1

(Certifique-se de substituir 127.0.0.1 pelo endereço IP em questão)
Se o endereço IP estiver sendo bloqueado pelo firewall, você receberá um erro:

127.0.0.1 already exists in /etc/apf/deny_hosts.rules

Se isso acontecer, você precisará abrir /etc/apf/deny_hosts.rules no seu editor de texto favorito e remover o endereço IP antes que ele possa ser adicionado à lista de permissões. Se a configuração for mais recente, você poderá executar o seguinte para remover o endereço IP de deny_hosts.rules:

apf -u 127.0.0.1

Abrindo uma porta no firewall apf

Por padrão, o apf é configurado de tal forma que todas as portas são bloqueadas além das especificamente permitidas para serem abertas ao mundo. Para permitir o acesso a portas adicionais, o arquivo de configuração principal do apf precisa ser editado.

Primeiro abra o arquivo apf.conf

vim /etc/apf/conf.apf

Dentro deste arquivo o arquivo que precisa ser alterado começa com IG_TCP_CPORTS = e se parece com isto:
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,993,995,2082
,2083,2084,2086,2087,2095,2096,3306,3784,7786,30052"

Agora, esta linha precisa ser editada para incluir a porta adicional.

  • No vim, pressione a para entrar no modo de inserção.
  • No modo de inserção, adicione a porta adicional à lista atual seguida de uma vírgula.
  • Agora, clique em escape ( esc ) para sair do modo de inserção.
  • Para gravar e salvar as alterações, digite : wq e pressione enter.
  • Depois que essas alterações forem feitas, reinicie o apf com este comando: apf -r

Estas instruções são para abrir uma porta TCP. Se uma porta UDP também precisa ser aberta, as instruções são as mesmas, exceto que a linha que precisa ser editada é a linha IG_UDP_CPORTS .

Anúncios