У меня есть два сервера FreeBSD на 4.7. Это два старых сервера, которые уже были настроены и настроены, когда я сюда приехал. Теперь, когда прежних администраторов больше нет, я начал внимательно изучать эти серверы и обнаружил, что брандмауэр не установлен! Службы, которые они запускают (например, ssh и sendmail), настроены достаточно хорошо в рамках своих соответствующих конфигураций, чтобы фильтровать трафик так, как мы этого хотим. Но тот факт, что я могу сканировать порты, выскакивает список из 20 открытых портов, что вызывает беспокойство.
Поэтому я подготовил некоторые правила брандмауэра для ipfw и пошел устанавливать их на серверах, но обнаружил, что серверы ничего не знают о IPFW (двоичный файл в / sbin / ipfw не существует). Кроме того, команды, которую я использовал для загрузки модулей ядра (kldload), тоже не существует. Я просмотрел порты и нет порта для установки. В руководстве администратора FreeBSD сказано, что IPFW был добавлен в версии 4.x.
Кто-нибудь знает, почему у меня его нет или как я могу его получить? Был ли PF программой межсетевого экрана, существовавшей до ipfw?
В порядке предпочтения:
Моим первым предложением было бы обновить эти машины до поддерживаемой версии FreeBSD.
4.x на данный момент является довольно древним, далеко за пределами срока поддержки, и вам лучше заменить его, чем пытаться сохранить его. Вы также можете защитить новые машины в соответствии с текущими передовыми методами.
Обратите внимание, что не существует поддерживаемого пути обновления с 4.x до чего-либо недавнего, не требующего переустановки, поэтому мы фактически говорим об оптовой замене машин / программного обеспечения.
Мое второе предложение, если вы абсолютно не могу обновить эти машины до отключите службы, которые вам не нужны и если вы все еще чувствуете потребность в брандмауэре, чтобы использовать специальный ящик, расположенный перед ними, в качестве брандмауэра.
В результате это сокращает количество открытых портов и освобождает оперативную память без необходимости перестраивать ядро / ОС. Использование выделенного брандмауэра позволяет вам устанавливать любые правила брандмауэра, которые вы хотите, без риска вмешательства в сами системы (которые, как я полагаю, стабильны и работают).
Мое третье предложение, если вы все еще настроены на то, чтобы возиться с этими машинами напрямую, было бы получить копию исходного дерева 4.7 (через cvsup) и перестроить мир и ядро (настроив последнее с помощью ipfw) - это будет получить исправление до последней и лучшей доступной версии 4.7, а также предоставить двоичный файл ipfw и компоненты ядра, необходимые для настройки брандмауэра.
Это ОГРОМНЫЙ риск - в процессе прикосновения к этим машинам вы вполне можете вызвать каскад ломающихся вещей, которые вам затем нужно будет исправить.
Если ipfw был скомпилирован как модуль, вы должны увидеть его в /modules/ipfw.ko
если он присутствует, загрузите его в ядро как root с помощью этого: "kldload ipfw && ipfw add 32000 allow ip from any to any", извлеченный из "man ipfw".