OpenForum RSS: Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? https://www.opennet.ru/openforum/vsluhforumID10/4990.html Поднял в личных целях "домашний" вебсервер под FreeBSD 9.0<br><br>Установка - все по минимуму. Сервер - "отдельно стоящий", с единственным сетевым адаптером, имеющим реальный айпишник.<br><br>На сервере будет:<br><br>Apache<br>MySQL<br>PHP<br><br>Помимо того стандартные: cv-sup, mc, sshd<br><br>После установки и настройки всего вышеназванного проверил снаружи nmap-ом открытость портов, снаружи видны только 22 и 80.<br><br>Вопрос.<br>Имеет ли смысл установка дополнительно файерволла (ipfw) ?<br>Как по мне - разве что для протоколирования ВСЕХ сетевых телодвижений...<br><br>Или на всякий случай стоит поставить ?<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (bs0d) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#12 Wed, 29 Feb 2012 05:25:29 GMT &gt;&gt; firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита <br>&gt;&gt; от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо <br>&gt;&gt; поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST <br>&gt;&gt; пакета. Аналогично с UDP, только там отсылается icmp port unreachable.<br>&gt;&gt; Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро <br>&gt;&gt; фрибсд от кривого пакета не падает, не факт, что такого не <br>&gt;&gt; произойдет завтра или через неделю.<br>&gt;&gt; По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, <br>&gt;&gt; десктоп это, тостер, холодильник или сервер.<br>&gt; +100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать <br><br>да и сменить дэфолтовый)<br><br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#11 Wed, 25 Jan 2012 08:34:34 GMT &gt;&gt; Или на всякий случай стоит поставить ?<br>&gt; Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч. <br>&gt; ICMP (нефиг пинговать!) <br>&gt; Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП <br>&gt; и ссш на порту 22 ваши логи будут расти по 10-20мег <br><br>вот у таких как вы видимо и растут )) те кто "deny all from any to me 22" не осилил ))<br>&gt; в день. Не думаю, что это полезная нагрузка на сервер. Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#10 Wed, 25 Jan 2012 08:33:22 GMT &gt; firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита <br>&gt; от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо <br>&gt; поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST <br>&gt; пакета. Аналогично с UDP, только там отсылается icmp port unreachable.<br>&gt; Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро <br>&gt; фрибсд от кривого пакета не падает, не факт, что такого не <br>&gt; произойдет завтра или через неделю.<br>&gt; По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, <br>&gt; десктоп это, тостер, холодильник или сервер.<br><br>+100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (reader) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#9 Tue, 24 Jan 2012 11:40:38 GMT &gt;&gt;&gt;&gt; а вы уверены что провайдеры не пропустят к вам пакеты от 127/8 <br>&gt;&gt;&gt; Не понял вопроса <br>&gt;&gt; тогда можете не ставить, потому что вы не знаете что в нем <br>&gt;&gt; разрешать, а что нет.<br>&gt;&gt; начните с изучения типов атак.<br>&gt; Извините, а можно поподробнее о таком типе атак ?<br>&gt; Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только <br>&gt; с лупбэком или же все это шутка ?<br><br>конечно же шутка, данные ваши я не получу, а вот будет ли ваша система слать reset вашему же web серверу при отправке из инета вам пакета на ваш_белый_ip:80 и обратным ip 127.0.0.1:3306 это еще вопрос<br><br>&gt; Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия <br>&gt; не позволяет... Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (Allan Stark) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#8 Mon, 23 Jan 2012 19:39:36 GMT &gt;&gt;&gt; а вы уверены что провайдеры не пропустят к вам пакеты от 127/8 <br>&gt;&gt; Не понял вопроса <br>&gt; тогда можете не ставить, потому что вы не знаете что в нем <br>&gt; разрешать, а что нет.<br>&gt; начните с изучения типов атак.<br><br>Извините, а можно поподробнее о таком типе атак ?<br>Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только с лупбэком или же все это шутка ?<br><br>Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия не позволяет...<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (terr0rist) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#7 Mon, 23 Jan 2012 09:54:20 GMT &gt; Или на всякий случай стоит поставить ?<br><br>Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч. ICMP (нефиг пинговать!)<br>Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП и ссш на порту 22 ваши логи будут расти по 10-20мег в день. Не думаю, что это полезная нагрузка на сервер.<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (reader) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#6 Sun, 22 Jan 2012 06:23:44 GMT &gt;&gt; а вы уверены что провайдеры не пропустят к вам пакеты от 127/8 <br>&gt; Не понял вопроса <br><br>тогда можете не ставить, потому что вы не знаете что в нем разрешать, а что нет.<br>начните с изучения типов атак.<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (anonymous) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#5 Sun, 22 Jan 2012 04:32:21 GMT &gt;&gt; Что в вашем понимании "ставить файерволл"?<br>&gt; Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?<br>&gt; Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?<br>&gt; Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна <br>&gt; компрометация системы ?<br><br>firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST пакета. Аналогично с UDP, только там отсылается icmp port unreachable.<br>Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро фрибсд от кривого пакета не падает, не факт, что такого не произойдет завтра или через неделю.<br>По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, десктоп это, тостер, холодильник или сервер.<br> Есть ли смысл ставить файерволл на вебсервер под FreeBSD ? (Allan Stark) https://www.opennet.ru/openforum/vsluhforumID10/4990.html#4 Sat, 21 Jan 2012 22:39:15 GMT &gt; Что в вашем понимании "ставить файерволл"?<br><br>Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?<br><br>Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?<br>Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна компрометация системы ?<br><br>