Поднял в личных целях "домашний" вебсервер под FreeBSD 9.0

Установка - все по минимуму. Сервер - "отдельно стоящий", с единственным сетевым адаптером, имеющим реальный айпишник.

На сервере будет:

Apache
MySQL
PHP

Помимо того стандартные: cv-sup, mc, sshd

После установки и настройки всего вышеназванного проверил снаружи nmap-ом открытость портов, снаружи видны только 22 и 80.

Вопрос.
Имеет ли смысл установка дополнительно файерволла (ipfw) ?
Как по мне - разве что для протоколирования ВСЕХ сетевых телодвижений...

Или на всякий случай стоит поставить ?

• Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,reader, 21:45 , 21-Янв-12
  • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,Allan Stark, 02:36 , 22-Янв-12
    • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,reader, 10:23 , 22-Янв-12
      • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,Allan Stark, 23:39 , 23-Янв-12
        • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,reader, 15:40 , 24-Янв-12
• Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,varda, 22:27 , 21-Янв-12
  • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,Allan Stark, 02:39 , 22-Янв-12
    • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,anonymous, 08:32 , 22-Янв-12
      • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,Pahanivo, 12:33 , 25-Янв-12
        • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,bs0d, 09:25 , 29-Фев-12
• Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,terr0rist, 13:54 , 23-Янв-12
  • Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?,Pahanivo, 12:34 , 25-Янв-12

>[оверквотинг удален]
> Apache
> MySQL
> PHP
> Помимо того стандартные: cv-sup, mc, sshd
> После установки и настройки всего вышеназванного проверил снаружи nmap-ом открытость портов,
> снаружи видны только 22 и 80.
> Вопрос.
> Имеет ли смысл установка дополнительно файерволла (ipfw) ?
> Как по мне - разве что для протоколирования ВСЕХ сетевых телодвижений...
> Или на всякий случай стоит поставить ?

а вы уверены что провайдеры не пропустят к вам пакеты от 127/8

> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8

Не понял вопроса

>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
> Не понял вопроса

тогда можете не ставить, потому что вы не знаете что в нем разрешать, а что нет.
начните с изучения типов атак.

>>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
>> Не понял вопроса
> тогда можете не ставить, потому что вы не знаете что в нем
> разрешать, а что нет.
> начните с изучения типов атак.

Извините, а можно поподробнее о таком типе атак ?
Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только с лупбэком или же все это шутка ?

Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия не позволяет...

>>>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
>>> Не понял вопроса
>> тогда можете не ставить, потому что вы не знаете что в нем
>> разрешать, а что нет.
>> начните с изучения типов атак.
> Извините, а можно поподробнее о таком типе атак ?
> Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только
> с лупбэком или же все это шутка ?

конечно же шутка, данные ваши я не получу, а вот будет ли ваша система слать reset вашему же web серверу при отправке из инета вам пакета на ваш_белый_ip:80 и обратным ip 127.0.0.1:3306 это еще вопрос

> Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия
> не позволяет...

Что в вашем понимании "ставить файерволл"?

Сделаете что-то вроде:

kldload ipfw

И он активирован. Может быть ещё несколько сопутсвующих модулей ядра. Чтобы стартовало с загрузки впишите в /boot/loader.conf в соответствии с синтаксисом. Можете на всякий случай предварительно до отладки правил перекомпилировать модуль в режим "default to accept" если нет физического доступа к технике. Или net.inet.ip.fw.default_to_accept="1" в /boot/loader.conf

> Что в вашем понимании "ставить файерволл"?

Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?

Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?
Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна компрометация системы ?

>> Что в вашем понимании "ставить файерволл"?
> Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?
> Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?
> Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна
> компрометация системы ?

firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро фрибсд от кривого пакета не падает, не факт, что такого не произойдет завтра или через неделю.
По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, десктоп это, тостер, холодильник или сервер.

> firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита
> от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо
> поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST
> пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
> Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро
> фрибсд от кривого пакета не падает, не факт, что такого не
> произойдет завтра или через неделю.
> По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно,
> десктоп это, тостер, холодильник или сервер.

+100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать

>> firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита
>> от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо
>> поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST
>> пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
>> Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро
>> фрибсд от кривого пакета не падает, не факт, что такого не
>> произойдет завтра или через неделю.
>> По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно,
>> десктоп это, тостер, холодильник или сервер.
> +100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать

да и сменить дэфолтовый)

> Или на всякий случай стоит поставить ?

Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч. ICMP (нефиг пинговать!)
Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП и ссш на порту 22 ваши логи будут расти по 10-20мег в день. Не думаю, что это полезная нагрузка на сервер.

>> Или на всякий случай стоит поставить ?
> Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч.
> ICMP (нефиг пинговать!)
> Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП
> и ссш на порту 22 ваши логи будут расти по 10-20мег

вот у таких как вы видимо и растут )) те кто "deny all from any to me 22" не  осилил ))
> в день. Не думаю, что это полезная нагрузка на сервер.