FreeBSD: firewall для web сервера за 5 минут
В данном топике мы за 5 минут настроим firewall на FreeBSD. Так как в моем случае сервер работает на xen, никаких усложнений в плане защиты от ddos, syn флуда и прочего я расписывать не буду, т.к. внутри виртуальной машины это делать бессмысленно. По всем этим вещам рекомендую, например, данное руководство Wouter Coene The OpenBSD Packet Filter HOWTO, ну и разумеется FAQ.
Правим /etc/rc.conf:
Создаем/правим файл /etc/pf.conf:
Стартуем (кстати, если делаете это на удаленном сервере, ssh соединение будет разорвано после старта pf).
Вот такой минимализм. Работают только определенные TCP порты, ICMP отключен.
Также пример настроек для работы ftp сервера в пассивном режиме:
Правим /etc/rc.conf:
pf_enable="YES"Создаем/правим файл /etc/pf.conf:
# re0 - сетевой интерфейс
net_if1="re0"
# пропускаем все на локальном интерфейсе
set skip on lo
# список tcp портов, которые будут открыты со внешки
tcp_services = "{22, 80, 8080, 443}"
# блокируем все входящие соединения, но разрешаем исходящие
block in all
pass out all
# разрешаем доступ со внешки к вышеперечисленным портам
# ключевое слово quick означает, что после этого правила
# никакие другие правила к пакетам применяться не будут
pass in quick on $net_if1 inet proto tcp from any to $net_if1 port $tcp_servicesСтартуем (кстати, если делаете это на удаленном сервере, ssh соединение будет разорвано после старта pf).
/etc/rc.d/pf startВот такой минимализм. Работают только определенные TCP порты, ICMP отключен.
Также пример настроек для работы ftp сервера в пассивном режиме:
net_if1="re0"
set skip on lo
tcp_services = "{20, 21, 22, 1222, 80, 8080, 443, 6969, 5222, 5223, 9090, 9091}"
block in all
pass out all
pass in quick on $net_if1 inet proto tcp from any to $net_if1 port $tcp_services
pass in quick on $net_if1 inet proto tcp from any to $net_if1 port 49512 >< 65535BSD Magazine
Замечательный журнал (на английском языке), который можно скачать в электронном виде!
bsdmag.org
Нужно указать e-mail и подтвердить подписку.
bsdmag.org
Нужно указать e-mail и подтвердить подписку.
- 0
- 24 марта 2011, 00:08
- комментировать
Настройка pfSense, если шлюз по-умолчанию в другой подсети
Отличный мануал на тему:
blog.magiksys.net/pfsense-firewall-default-gateway-different-subnet
blog.magiksys.net/pfsense-firewall-default-gateway-different-subnet
- 0
- 11 февраля 2011, 00:50
- комментировать
GhostBSD
GhostBSD — довольно неплохой live-cd дистрибутив (один из немногочисленных) на базе FreeBSD. Окружение рабочего стола по-умолчанию — GNOME.
- +4
- 23 октября 2010, 18:56
- 1
DesktopBSD 1.7
www.desktopbsd.net
Интересный вариант FreeBSD с удобным графическим установщиком.
Основа — FreeBSD 7.2
Десктоп — KDE 3.5.10
Включает в себя OpenOffice.org 3.1.1, Java SE 6, X.Org 7.4
( Читать дальше )
Интересный вариант FreeBSD с удобным графическим установщиком.
Основа — FreeBSD 7.2
Десктоп — KDE 3.5.10
Включает в себя OpenOffice.org 3.1.1, Java SE 6, X.Org 7.4
( Читать дальше )
- +4
- 25 февраля 2010, 16:09
- 6
Вышла PC-BSD 8.0
www.pcbsd.org
Русское сообщество:
pcbsd.ru
Основным рабочим столом является KDE 4.3.5. Как установлю под VMWare — будут скриншоты.
- +5
- 23 февраля 2010, 18:56
- 7