Нужен ли файрволл на домашнем веб-сервере за роутером?

Question

[Magi]

Есть FreeBSD 10.1, nginx, php 5.6, mysql 5.6, потом будет почтовый сервер, joomla 3.4 Стоит за роутером Sagem в котором открыты 22, 80, 110, 25, 443 Стоит ли в этом случае настраивать ipfw на самом сервере?

Answer 1

[Magi]

Добавил
$cmd allow udp from any to me 53 in via $pif
$cmd allow udp from any 53 to me in via $pif
и все получилось!

Answer 2

[Дмитрий Филимонов]

Конкретно в вашем случае нет.

Левые порты не светятся наружу, никаких задач по роутингу/нату нет, ограничивать что-либо (syn, tcp-сессии, etc) тоже не имеет смысла, т.к. при любой атаке умрет ваш роутер/канал первым(и), стат собирать не собираетесь.

Если в будущем хотите экспериментов, ожидаются сети внутри сервера или внешние (например, VPN), то можете настроить "на будущее". Какие-то базовые правила можете взять где-нибудь, чтобы отталкиваться.

p.s. Я бы настроил, чтобы лучше изучить сети вообще. Можете подключить ваш сервер напрямую к интернету, а роутер уже по другой сетевушке (еще лучше - поднять на роутере вланы, чтобы пропустить себе инет, если он такое умеет, будет топология интереснее). Тогда у вас, во-первых, появится смысл в фаерволле, а во-вторых, вы сможете взять на себя его обязанности по нату. Поднимите внутри сервера виртуализацию (отдельно для БД, для сайта, парочку nginx, чтобы запроксировать запрос, DNS еще, чтобы зона была локальная для виртуалок), чтобы появились дополнительные сети, тогда даже роутинг какой-никакой сможете сделать. Можно разогнаться до динамической маршрутизации уже, раскачаете скилл.

Comments

[Magi]

Спасибо за разъяснения. Тогда вопрос настроил вот такие правила, но почему-то DNS запросы блокируются.

#ipfw list
00001 unreach port ip from table(1) to me
00015 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 deny log logamount 10000 ip from any to any not verrevpath in via ae0
00050 allow log logamount 10000 ip from any to any via lo0
00055 allow log logamount 10000 ip from me to any
00056 allow log logamount 10000 tcp from me to any keep-state
00057 allow log logamount 10000 udp from me to any keep-state
00058 allow log logamount 10000 icmp from me to any keep-state
00075 allow tcp from any to any established
00076 check-state
00100 allow log logamount 10000 icmp from any to any
00150 allow log logamount 10000 ip from 192.168.1.1 to me via ae0
00151 allow log logamount 10000 ip from 192.168.1.5 to me via ae0
00170 allow log logamount 10000 tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0
00171 allow log logamount 10000 udp from any to me dst-port 53,3306 via ae0
00200 allow tcp from any to any dst-port 80 out via ae0.
00225 allow tcp from any to any dst-port 25 out via ae0
00227 allow tcp from any to any dst-port 110 out via ae0
00250 allow log logamount 10000 icmp from any to any out via ae0 keep-state
00255 allow log logamount 10000 ip from any to any dst-port 123 out via ae0
00300 allow log logamount 10000 tcp from any to any dst-port 22 out via ae0 setup keep-state
10000 deny log logamount 10000 ip from any to any
65535 deny ip from any to any

#ipfw show
00001 39 3324 unreach port ip from table(1) to me
00015 0 0 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 0 0 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 0 0 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 0 0 deny log logamount 10000 ip from any to any not verrevpath in via ae0
00050 15224 3393588 allow log logamount 10000 ip from any to any via lo0
00055 5919 1215317 allow log logamount 10000 ip from me to any
00056 0 0 allow log logamount 10000 tcp from me to any keep-state
00057 0 0 allow log logamount 10000 udp from me to any keep-state
00058 0 0 allow log logamount 10000 icmp from me to any keep-state
00075 6031 7579870 allow tcp from any to any established
00076 0 0 check-state
00100 554 15512 allow log logamount 10000 icmp from any to any
00150 167 13026 allow log logamount 10000 ip from 192.168.1.1 to me via ae0
00151 12 624 allow log logamount 10000 ip from 192.168.1.5 to me via ae0
00170 30 1604 allow log logamount 10000 tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0
00171 0 0 allow log logamount 10000 udp from any to me dst-port 53,3306 via ae0
00200 0 0 allow tcp from any to any dst-port 80 out via ae0.
00225 0 0 allow tcp from any to any dst-port 25 out via ae0
00227 0 0 allow tcp from any to any dst-port 110 out via ae0
00250 0 0 allow log logamount 10000 icmp from any to any out via ae0 keep-state
00255 0 0 allow log logamount 10000 ip from any to any dst-port 123 out via ae0
00300 0 0 allow log logamount 10000 tcp from any to any dst-port 22 out via ae0 setup keep-state
10000 4254 457568 deny log logamount 10000 ip from any to any
65535 0 0 deny ip from any to any

В логе
Apr 28 01:47:46 passat kernel: ipfw: 10000 Deny UDP ip_dns_сервера:53 192.168.1.7:2232 in via ae0
Apr 28 01:47:50 passat kernel: ipfw: 10000 Deny UDP ip_dns_сервера:53 192.168.1.7:2236 in via ae0

[Дмитрий Филимонов]

Magi: к сожалению, по bsd я не в теме (заядлый любитель линухи), но, вижу, вы разобрались сами :)

Answer 3

[sim3x]

Да