全球主机交流论坛

标题: 设置pptpd与apf [打印本页]
作者: 诡谲    时间: 2010-4-19 11:00
标题: 设置pptpd与apf
APF是Linux环境下出色的软件防火墙,它使用iptables的规则,简化了iptables的设置.搭配DOS deflate脚本可有效减轻攻击带来的伤害.前段时间写过一篇howto的日志,有朋友安装后发现某些应用无法实施.比较抱歉的是那篇日志中我没有说的太清楚.这里我以设置pptpd VPN为例.说明一下添加某些特别应用的过滤规则.

pptpd的运行环境

pptpd安装在实体服务器或者xen-based的VPS上.需要在主机(单位node)上开启tcp:1723端口和GRE协议(协议名为47,用于验证用户名),同时需要使用iptables进行SNAT转发.用户进来之后将使用虚拟网卡.

首先开放tcp端口,编辑/etc/apf/conf.apf文件.找到IG_TCP_CPORTS,添加1723和47端口.如下:




添加iptables规则:编辑/etc/apf/main.rules,在最下面添加一段自定义的规则.以内网192.168.9.0/24段为例.
# PPTPD
/sbin/iptables -A INPUT -p gre -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.9.0/24 -j MASQUERADE



重启apf后,查看iptables是否生效.如下图.iptables的DNAT转发已生效.



后话

大部分网络应用都依靠端口或者转发操作实施的.假定需要为特定程序添加过滤规则,就先要明白程序需要开放哪些端口,不需要开放哪些端口,或者有没有转发操作等.只有了解这些基本特性并充分利用好,才能让这些程序更好的服务于我们需要的应用领域.

[ 本帖最后由 诡谲 于 2010-4-19 15:36 编辑 ]
作者: 诡谲    时间: 2010-4-19 11:01
我也来水一个
作者: cnx    时间: 2010-4-19 11:01
支持 一下。
作者: iamfly    时间: 2010-4-19 11:04
这个要支持啦
作者: bluesky    时间: 2010-4-19 11:05
已装了 DDoS deflate ..... 再装这个 ... 会不会鬼打墙呀?
作者: wzwen    时间: 2010-4-19 11:08
不错……
作者: 诡谲    时间: 2010-4-19 11:14
标题: 回复 5# 的帖子
不会.这个是针对安装了apf的.

而ddos_deflate在安装后可以采用两个禁IP的方式.一个就是APF,另外一个是iptables.这里贴出这篇是希望使用apf的朋友能看到并避免使自己的vpn无法使用.
作者: hx    时间: 2010-4-19 13:05
apf是基于iptables的一套脚本,还是能脱离iptables的独立应用?
作者: 诡谲    时间: 2010-4-19 13:27
标题: 回复 8# 的帖子
前者
作者: hx    时间: 2010-4-19 13:40
标题: 回复 9# 的帖子
明白了,确实适合iptables新手。
作者: ccp    时间: 2010-4-19 13:48
用SNAT还是用MASQUERADE好?
  1. Masquerading should be used where you have a dynamic connection and the IP address is likely to change (maybe on ppp0). That way masquerading just picks up the new dynamic IP and uses that to change addresses.

  3. SNAT has some connection tracking advantages where if your link goes down for a short while, it will remember the connections that are still open/active and continue on when the link returns (depending on timeouts etc..). Masq does not, it clears the state each time it comes up as a saveguard.
复制代码
SNAT效率高哦。
作者: eudx    时间: 2010-4-19 14:10
不懂这个的用途。是所有访问都从虚拟网卡进来么?
那怎么防攻击的呢?
比如单个IP的WEB压力测试 具体怎么用APF阻止啊
作者: 诡谲    时间: 2010-4-19 14:15
标题: 回复 10# 的帖子
比较有效率.
作者: 诡谲    时间: 2010-4-19 16:05
标题: 回复 11# 的帖子
貌似SNAT比较好.但是我经常遇到ip_conntrack被塞满的情况.然后网络停止反应.也ping不通了.

出错信息如下.但是我的表已经设置很大了.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.



欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/) Powered by Discuz! X3.4