Я спрашиваю об этом, имея в виду установку FreeBSD по умолчанию. В нем не активированы сетевые службы и не установлен брандмауэр. Это отличается от многих дистрибутивов Linux, которые обычно настраивают базовый брандмауэр, но также имеют ограниченные сетевые службы, например sshd, прослушивание.
Если нет служб, связывающих какие-либо сетевые порты, похоже, что брандмауэру нечего будет делать. (Предполагая доверие к исходящему трафику, что типично для вышеупомянутых конфигураций брандмауэра, установленных по умолчанию во многих дистрибутивах Linux).
Я специально спрашиваю только о системах bsd / linux, за исключением osx.
Краткий ответ: да, это так!
Предположим, что никакие другие службы никогда не запустятся случайно, и что вы внезапно не поймете, что вам нужна срочная работа, а затем пожалеете, что брандмауэр уже настроен надлежащим образом :-)
Хотя это менее вероятно во FreeBSD, возможно, что приложения иногда могут временно открывать порты. Если брандмауэр отсутствует, они появятся.
FreeBSD будет отвечать хостам, даже если службы не работают. Он может отвечать на эхо-запросы ICMP (эхо-запросы), а также отвечать, когда хост пытается подключиться к порту (или делает вид, что пытается подключиться к порту), чтобы хост знал, что порт закрыт.
Эти ответы позволят злоумышленникам узнать, что ящик существует и не защищен сетью. Это несомненный факт, и это легко сделать злоумышленникам.
Немного менее просто то, что он, скорее всего, ответит таким образом, чтобы позволить злоумышленникам определить, что он работает под FreeBSD.
Другая проблема заключается в том, что FreeBSD имеет определенный уровень взаимодействия, чтобы сообщить другим системам, что ее порты закрыты. В этом случае существует вероятность эксплойта, в результате которого созданный со злым умыслом пакет может оказать неблагоприятное воздействие на систему, вызвав сбой или другую проблему. Хотя в последней версии FreeBSD нет известных уязвимостей этого типа, это еще одна причина иметь брандмауэр.
Другая проблема заключается в том, что злоумышленники могут подделать исходный IP-адрес и отправить на ваш ящик запросы, упомянутые выше, но с поддельным исходным IP-адресом. В этом случае FreeBSD ответит на поддельный IP-адрес источника, а не на злоумышленника. Итак, кто бы ни находился на поддельном IP-адресе, он будет удивляться, почему ваш сервер FreeBSD отправляет на него ответы.
В любом случае у вас есть три варианта межсетевого экрана во FreeBSD. pf, ipfilter или ipfw. Я уверен, что пары простых правил для блокировки всего входящего трафика (за исключением того, который связан с запросами, исходящими из самого FreeBSD) будет достаточно, чтобы защитить вас от всех проблем, упомянутых выше.
Задайте еще один вопрос, если вы хотите узнать, какой из трех вышеупомянутых вариантов лучше всего, или как настроить одно из трех указанных выше с использованием правильных правил, поскольку я больше знаком с Linux ;-) Хотя я слышал, что pf - это хорошо, и не много слышал о других.
https://www.freebsd.org/doc/en/articles/linux-users/firewall.html
Нужен ли брандмауэр системе без запущенных сетевых служб?
Да.
Если у системы есть сетевой адрес, пакеты могут маршрутизироваться на нее. Ядро обрабатывает пакеты, даже если нет открытых сокетов приложений. Существует множество уязвимостей ядра, которые позволяют приводить к сбою систем, а некоторые даже позволяют вносить изменения в систему или изменять поведение системы через ошибки ядра.
Если система используется человеком, который будет открывать приложения, которые исходят из сети, могут быть открыты эфемерные порты прослушивателя, которые могут представлять уязвимости на уровне приложений. Хотя намерение предназначено только для исходящей связи, приложения могут открывать сокеты, которые разрешают входящую связь, даже если только временно.