Обновлена 21.05.2014
Выдержка из документации:
“Операция состояния – путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit.
Опишу несколько стандартных команд для работы с портами. На первый взгляд покажеться это ненужным, но в то же время и нужное. Сможете ли вы навскидку сказать, от каких пакетов зависит данный порт? Или пора лим обновить или подождать? На все эти и другие вопросы ответы найдёте ниже.
В этой заметке расскажу, как с помощью некоторых переменных sysct увеличить безопасность вашего сервера. Всё описанное ниже, относиться только к FreeBSD. Переменные можно менять прямо с консоли так:
Обновил статью 4.10.2011
В этой статье расскажу, о правилах файерволов, которые позволяют бороться с паразитируещим траффиком (фрагментированные пакеты, неправильные бродкасты, …). Приведу примеры для таких файерволов: ipfw, pf, iptables. В некоторых из них будут специфические правила, которые отсутствуют в других.
1) rc.conf
Добавляем такие строчки в /etc/rc.conf
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
1) Postfixadmin.
Установка и настройки ничем не отличаются от тех, которые описаны здесь. В том числе создание базы в MySQL и назначение прав юзеру.
Это продолжение статьи Настройка почтовой связки Postfix+Dovecot+Mysql+Squirrelmail+SSL. В этой будет рассказано, как добавить проверку на спам и вирусы.
Вступление.
amavis – по своей сути является лишь разграничителем между postfix’ом и проверкой. То есть, при поступлении письма, оно передаётся amavis’y, а тот в свою очередь разбивает письмо на части и направляет на проверку clamav’y и spamassasin’y. Вот такая схема.
1) Ставим mysql.
#cd /usr/ports/database/mysql51-server && make install clean
После установки базы производим её инициализацию:
#mysql_install_db
#chown -R mysql:mysql /var/db/mysql
Обновлена 7.06.2010
Внимание!
Перед установкой следует позаботиться о достаточном количестве файловых дескрипторов для пользователя, от которого работает squid, при включённом кешировании.
1) В 9.2-Stable обнаружен баг: любое создание интерфейса вырубало форвардинг, устанавливало параметр net.inet.ip.forwarding в 0. Что бы этого не было, нужно устанавливать gateway_enable=”YES” в rc.conf
2) Что бы работал прозрачный прокси, нужно дать устройству /dev/pf права на чтения для всех (если у вас squid работает не из-под root’a):
# chmod o+r /dev/pf
1) Включаем pf.
Включить его можно 2 способами: добавив в rc.conf или пересобрать ядро. Выбирайте тот, который вам будет удобнее. Я же опишу оба.
– Через rc.conf
Добавляем следующие строчки в файл /etc/rc.conf:
pf_enable="YES"
pf_rules="/etc/pf.rules"
pflog_enable="YES"
Есть некоторые полезные приложения в linux не до конца портированные под FreeBSD. Например, htop (утилита довольно универсальная по сравнению с обычным top). Собственно поддержка linux’a в этой утилите и натолкнула меня на написание этой статьи.
