pure-pw usermod <帳號> -r <ip範圍>

如果要鎖死某個ip,就1.1.1.1/32

鎖c class 1.1.1.1/24

不鎖ip 1.1.1.1/0

要同時限制很多個IP的話,以,號隔開

pure-pw usermod <帳號> -r <ip範圍1>,<ip範圍2>…

 

這東西不像GYFTPD或是IOFTPD那種有ADDIP的功能,所以有加IP,就要全部重打一次= =

輸入完要再輸入

pure-pw mkdb

 


1.安裝
wget http://www.rfxn.com/downloads/apf-current.tar.gz
tar -zxvf apf-current.tar.gz
cd apf-9.7-1
./install.sh
2.設定
cd /etc/apf
編輯 conf.apf
其中
IG_TCP_CPORTS=”1,2,3,5000_6000″ 以 ,分開,如果連續 (pasv要用的..以_隔開)
IG_UDP_CPORTS=”53″ //開啟的UDP PORT
EG_TCP_CPORTS=”21,25,80,443,43,2089″ //設定機器允許連外的TCP PORT
EG_UDP_CPORTS=”20,21,53″ //設定機器允許連外的UDP PORT
這二行如果在vps…記憶體不足的情形下不要設為1 (會出現問題= =)
/*啟用阻止列表,這裡的列表來自網絡上rfxn.com、www.spamhaus.org和feeds.dshield.org,主要包含了如垃圾郵件的黑名單,DShield公司手機的惡意活動名單*/
DLIST_SPAMHAUS=”0″ 改為 DLIST_SPAMHAUS=”1″
DLIST_DSHIELD=”0″ 改為 DLIST_DSHIELD=”1″
DEVEL_MODE=”1″ –>DEVEL_MODE=”0″
IFACE_IN=”venet0″IFACE_OUT=”venet0″SET_MONOKERN=”1″

3.設定只能進來的ip
編輯 allow_hosts.rules
port要跟IG_TCP_CPORTS裡面的設定的一樣
d=PORT:s=IP
d=22:s=111.111.111.111

再來設定
編輯 deny_hosts.rules
d=22:s=0/0 所有人都不準進來..除了allow_hosts.rules中設定的之外

4.啟動
apf -s // 啟動APF防火牆
apf -r // 重啟APF防火牆
apf -f // 刷新APF防火牆配置文件
apf -l // 列出APF的過慮規則
apf -t // APF的日誌信息。
apf -e // 將域名解釋加入信認規則
apf -a // 將IP/IP段添加到白名單
apf -d // 將IP/IP段添加到黑名單
apf -u // 將IP/IP段從白/黑名單中刪除
apf -o // 將IP/IP段從白/黑名單中刪除