Ответы:
21 - FTP
22 - SSH
80 - Apache
443 - если есть SSL
zwey, я правильно понял, что фря у вас в качестве сервера, который обслуживать будет 21,22,80,443 и все?
если это так, то нафига вам вообще фаервол? просто оставьте только эти сервисы, а остальное выключите. да и все.. паркет пришедший порт, где его никто не ждет, будет удален и все...
я там пакет имел в виду, а не паркет.. извините, ошибся.. :)
ну, что касается тонкой настройки фри, тут я вам не посоветую ничего.
а, касательно tcp/ip, то я бы не пользовал бы файрвол.. ибо:
порта нет... :) это миф... :) если на конкретном сокете (ip:port) никто ничего не "слушает", то пакет дропается. тоесть "типа" закрытие порта фаерволом — это только + еще один дополнительный процесс, который обработает эти пакеты... да еще и может icmp(3,3) посылать...
AGUtilities, ну от ОС зависит алгоритм открытия портов для исходящий соединений. не могу сейчас найти спецификацию, а RFC читать лень...
zwey, я бы на вашем месте сделал бы dmz и туда бы сервер поставил. и наружу на самом фаерволе выставил бы только необходимые порты. вообще выставлять сервера за НАТ — хорошая идея. мне нравится. ну и ограничивать количество одновременных подключений...
В этих двух статьях расписано все подробно про работу ipfw на freebsd c примерами конфигов и подробным описанием команд.
2 warrior
ipfw во FreeBSD работает на уровне ядра, и не висит ни каким отдельным процессом, и серверных ресурсов практически не потребляет, точнее его работа на скорость работы других служб ни как не влияет. Т.к. FreeBSD планируется ставить на сервере то без фаервола сдесь никуда, интересно какими средствами вы будете защищать сервер от ддос атак, от брутфорсинга, или от нагрузки создаваемой тем что догрена народу качает какую нить хрень и для этих конектов нужно урезать канал.
Karyakin Vladimir, ну вы же понимаете, что ни один фаервол *не защитит* от ошибок протоколов.. Количество подключений ограничевается настройками соответствующих сервисов... И причем здесь брутфорсинг? Брутфорсинг ЧЕГО?
Вот Вам боевой пример защиты сервера на базе ipfw
Я бы Вам ещё посоветовал бы настроить нужным образом sysctl, положить пару патчей на ядро(SSP xMAC /etc) и скрыть версии сетевых демонов, httpd, sshd, proftpd и купить роутер с функционалом storm-control && bpdu gurd, это для начала.
zingel, на счет конфига — ничего полезного.
zwey, для тонкой настройки и контроля трафика. но в вашей ситуации (предоставлять набор сервисов всем и для всех) он не нужен. хуже не будет, если настроите. но и лучше тоже.
Хочется дополнить, что от DDoS не спасёт ни какой файрвол, за исключением acl на апстримном коммутаторе или банальный null-роут там же. Мой пример спасает от сканирования и отсеивает ненужные флаги ничего больше.
2 zingel
на 100% от ДДОСа защититься нельзя но снизить нагрузку на машину путем выявления атакующих IP или челых сетей и блокировки их на уровне ipfw, так же с его помощью можно ограничить количество запросов с 1-го IP. Можно крону уже раз в минуту добавлять в ipfw table новые ИП из лога каким нить скриптом.
пример:
ipfw add deny all from "table(1)" to [IP адрес] 80 via [имя интерфейса]
далее выявляете IP и заносите его а таблицу
ipfw table 1 add "[IP адрес]"
От DDoS полосой от 500 мегабит и выше вас не спасёт ни какой файрвол про снижение нагрузки вообще не идёт речи. Уж поверьте =)
16 лет назад