APF + BFD replaced by CSF
CSF = ConfigServer Firewall
CSF 和 APF 同樣是透過讀取配置文件自動產生 iptables rules 的程式,撇除功能不說,兩者主要分別在於前者用 Perl 編寫,後者則純綷是一個 200 多行的 Bash Script.
基於 CSF 乃 Perl 所編寫,功能上自然比 APF 強大得多,而內建的 Login Failure Daemon (lfd) 正好可替換 BFD。再加上貼心的 Webmin Module,令我很久之前已經想把所有主機的firewall軟件轉為 CSF。但礙於所有主機的 APF + BFD 都一直運行正常而且可靠,新 firewall 又不知效果如何,實在不想花時間拿 production server 來冒險=.=
前天設定新主機時很順手地一併安裝了 APF + BFD,後來想想新主機用新 firewall 應該不要緊吧,於是就按照 DirectAdmin Forum 裡的 CSF Howto 安裝 CSF 並把 APF + BFD 移除。
仔細研究一下 CSF 的配置文件,原來和 APF 一樣的簡單,在新主機檢查無誤後,就為所有主機都換上全新的 CSF 了=]
但內建的 Process Tracking 被我關閉了, 因為它的 process limit 方面太一刀切,不像 PRM 可以為個別服務設限。