Форум Сайтостроение Администрирование серверов

Файрволл на домашнем сервере

P
На сайте с 27.04.2015
Offline
11
Ppaa
745

Хочу перевести свой сайт на домашний сервер. FreeBSD 10.1, nginx, php 5.6? mysql 5.6, потом будет почтовый сервер, joomla 3.4

Стоит за роутером в котором открыты 22, 80,110, 25, 443

Стоит ли в этом случае настраивать ipfw на самом сервере?

Если да, то подскажите с правилами

У меня пока нижеследующие, но freebsd и joomla не обновляются, скачать что-то или зайти на другой сервер по ssh не получается. Кажется не проходят запросы к dns серверам (см. ниже.) подскажите какие правила нужно поправить? 

#ipfw list

00001 unreach port ip from table(1) to me

00015 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0

00016 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0

00017 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0

00018 deny log logamount 10000 ip from any to any not verrevpath in via ae0

00050 allow log logamount 10000 ip from any to any via lo0

00055 allow log logamount 10000 ip from me to any

00056 allow log logamount 10000 tcp from me to any keep-state

00057 allow log logamount 10000 udp from me to any keep-state

00058 allow log logamount 10000 icmp from me to any keep-state

00075 allow tcp from any to any established

00076 check-state

00100 allow log logamount 10000 icmp from any to any

00150 allow log logamount 10000 ip from 192.168.1.1 to me via ae0

00151 allow log logamount 10000 ip from 192.168.1.5 to me via ae0

00170 allow log logamount 10000 tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0

00171 allow log logamount 10000 udp from any to me dst-port 53,3306 via ae0

00200 allow tcp from any to any dst-port 80 out via ae0.

00225 allow tcp from any to any dst-port 25 out via ae0

00227 allow tcp from any to any dst-port 110 out via ae0

00250 allow log logamount 10000 icmp from any to any out via ae0 keep-state

00255 allow log logamount 10000 ip from any to any dst-port 123 out via ae0

00300 allow log logamount 10000 tcp from any to any dst-port 22 out via ae0 setup keep-state

10000 deny log logamount 10000 ip from any to any

65535 deny ip from any to any



#ipfw show

00001    39    3324 unreach port ip from table(1) to me

00015     0       0 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0

00016     0       0 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0

00017     0       0 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0

00018     0       0 deny log logamount 10000 ip from any to any not verrevpath in via ae0

00050 15224 3393588 allow log logamount 10000 ip from any to any via lo0

00055  5919 1215317 allow log logamount 10000 ip from me to any

00056     0       0 allow log logamount 10000 tcp from me to any keep-state

00057     0       0 allow log logamount 10000 udp from me to any keep-state

00058     0       0 allow log logamount 10000 icmp from me to any keep-state

00075  6031 7579870 allow tcp from any to any established

00076     0       0 check-state

00100   554   15512 allow log logamount 10000 icmp from any to any

00150   167   13026 allow log logamount 10000 ip from 192.168.1.1 to me via ae0

00151    12     624 allow log logamount 10000 ip from 192.168.1.5 to me via ae0

00170    30    1604 allow log logamount 10000 tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0

00171     0       0 allow log logamount 10000 udp from any to me dst-port 53,3306 via ae0

00200     0       0 allow tcp from any to any dst-port 80 out via ae0.

00225     0       0 allow tcp from any to any dst-port 25 out via ae0

00227     0       0 allow tcp from any to any dst-port 110 out via ae0

00250     0       0 allow log logamount 10000 icmp from any to any out via ae0 keep-state

00255     0       0 allow log logamount 10000 ip from any to any dst-port 123 out via ae0

00300     0       0 allow log logamount 10000 tcp from any to any dst-port 22 out via ae0 setup keep-state

10000  4254  457568 deny log logamount 10000 ip from any to any

65535     0       0 deny ip from any to any

В логе 

Apr 28 01:47:39 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:33445 192.168.1.255:33445 in via ae0

Apr 28 01:47:39 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:33445 255.255.255.255:33445 in via ae0

Apr 28 01:47:40 passat kernel: ipfw: 10000 Deny UDP 195.34.224.2:53 192.168.1.7:2233 in via ae0

Apr 28 01:47:41 passat kernel: ipfw: 10000 Deny UDP 208.67.220.220:53 192.168.1.7:46346 in via ae0

Apr 28 01:47:41 passat kernel: ipfw: 10000 Deny UDP 208.67.222.222:53 192.168.1.7:18082 in via ae0

Apr 28 01:47:45 passat kernel: ipfw: 10000 Deny UDP 208.67.222.222:53 192.168.1.7:41666 in via ae0

Apr 28 01:47:45 passat kernel: ipfw: 10000 Deny UDP 208.67.220.220:53 192.168.1.7:1929 in via ae0

Apr 28 01:47:46 passat kernel: ipfw: 10000 Deny UDP 195.34.224.1:53 192.168.1.7:2232 in via ae0

Apr 28 01:47:50 passat kernel: ipfw: 10000 Deny UDP 195.34.224.1:53 192.168.1.7:2236 in via ae0

Apr 28 01:47:50 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:33445 192.168.1.255:33445 in via ae0

Apr 28 01:47:50 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:33445 255.255.255.255:33445 in via ae0

Apr 28 01:47:51 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:17500 255.255.255.255:17500 in via ae0

Apr 28 01:47:51 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:17500 255.255.255.255:17500 in via ae0

Apr 28 01:47:51 passat kernel: ipfw: 10000 Deny UDP 192.168.1.5:17500 192.168.1.255:17500 in via ae0

Apr 28 01:47:51 passat kernel: ipfw: 10000 Deny UDP 195.34.224.2:53 192.168.1.7:2237 in via ae0

Apr 28 01:47:52 passat kernel: ipfw: 10000 Deny UDP 208.67.220.220:53 192.168.1.7:5411 in via ae0

Apr 28 01:47:52 passat kernel: ipfw: 10000 Deny UDP 208.67.222.222:53 192.168.1.7
DV
На сайте с 01.05.2010
Offline
644
DenisVS
#1
Ppaa:
Стоит ли в этом случае настраивать ipfw на самом сервере?

Да.

Ppaa:
У меня пока нижеследующие, но freebsd и joomla не обновляются, скачать что-то или зайти на другой сервер по ssh не получается. Кажется не проходят запросы к dns серверам (см. ниже.) подскажите какие правила нужно поправить?

Вам на других форумах ответили, что нужно разбираться в работе фаервола, а не подбирать методом тыка.

В общем случае, рекомендую вытереть весь конфиг, поставить полиику "запретить всё" и начинать вдумчиво писать правила для каждой службы.

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
Антивирус нашел странный файлик Разъяснение правил форума, ответы Как узнать работает ли
R
На сайте с 13.04.2009
Offline
159
RRR Ivanov
#2

Почтовый сервер дома? Вы смеетесь?

worldfoto
На сайте с 20.04.2012
Offline
213
worldfoto
#3

Как пратика показала дома держать сервер никак не выгодно. пропадает конект электричество. и дальше одни нюансы

⭐ ->Лучший VPN https://u.to/i1L5IA | ⭐ - > Лучшая партнерка только с ней и зарабатываю! https://is.gd/OrRjrw
RAS
На сайте с 27.11.2005
Offline
126
RAS
#4

ipfw не нужен, так как используете уже ротуер, как первое звено соединения. Так что при флуде или ддос, роутер ляжет раньше, чем траф дойдет до сервера.

Администрируем сервера, впс, вдс. Ускоряем загрузку сайтов - DLE, Word Press, Joomla, Modx... Настраиваем безопасность. Ручная чистка rootkit/malware/вирусов. (/ru/forum/867860) Разработка - shell/bash/sh/python/perl.
iHead
На сайте с 25.04.2008
Offline
137
iHead
#5

ipfw можно выключить. что вы им блокировать собрались?

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)
DV
На сайте с 01.05.2010
Offline
644
DenisVS
#6

Целесообразно саму машину под FreeBSD использовать в качестве роутера, чтобы было меньше узких мест.

P
На сайте с 08.03.2007
Offline
250
Pilat
#7

Я бы поставил proxmox ve3 - там и файрвол будет трёхуровневый, и все прелести виртуализации, такие как защита Вашего почтовика от Вашей Joomla и php.

Насчёт почтовика дома... можно и два провайдера для надёжности подключить (это просто), и PTR запись получить, и UPS поставить на автомобильном аккумуляторе от Камаза :)

Так же не забывайте, что Ваш сервер будет работать в одном адресном пространстве с телефонами, ноутбуками и, возможно, холодильником, и их друг от друга тоже надо защищать.

Блог (http://www.pilat66.ru/)
Кто поможет с почтовым Почтовый сервис для сайта VMmanager vs Proxmox VE

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий