Настроим удаленное подключение к FreeBSD серверу по протоколу ssh средствами свободно распространяемого клиента PuTTY.
Скачать PuTTY для Windows можно с официального сайта http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. Читать далее
Перед обновлением обязательно сделайте бекап системы.
Убедимся что у нас сейчас версия системы 10.3. Для этого запустим утилиту uname с ключем a.
uname -a
Начнем обновление с утилиты bspatch. В bspatch была найдена уязвимость. Перед установкой патча, который эту уязвимость закроет, файл надо обнулить.
: > /usr/bin/bspatch
Загрузим все патчи для нашей FreeBSD 10.3, установим их и перезагрузимся.
В каталоге etc мы создали скрипт rc.ipfw с правилами для ipfw.
# Объявляем, что файл является скриптом sh #!/bin/sh cmd=”ipfw –q add” # Сбрасываем все правила ipfw –q –f flush # Отправляем пакеты на наш NAT $cmd 014 divert natd ip from any to any via em1 # Разрешающее правило для всего $cmd 100 allow ip from any to any
Сейчас в этом скрипте у нас есть только одно правило, которое разрешает всё. Вряд ли такой сервер можно назвать защищенным. Нам нужно написать набор разрешающих и запрещающих правил с учетом сервисов запущенных на сервере. Все неиспользуемые порты мы закроем. Читать далее
Кеширующий DNS нужен для преобразования имен в ip адреса и наоборот. Начиная с Freebsd 10.0 кеширующий DNS по умолчанию в FreeBSD был заменен, с named на unbound. Тем не менее, named, как часть пакета Bind, можно установить, как при помощи пакетного менеджера, так и из портов.
pkg install bind910
Посмотреть состояние сетевых интерфейсов можно при помощи ifconfig.
На этом сервере есть 2 сетевые карты. em0 смотрит в локальную сеть. em1 внешний интерфейс, через него поступает интернет.
Отредактируем конфигурационный файл named.conf.
Подготовим ядро для нашего файрволла.
Двумя самыми популярными файрволами для FreeBSD являются ipfw и pf. Мы будем настраивать ipfw.
Для работы ipfw, внесем ряд дополнительных опций в ядро FreeBSD. Для этого потребуются исходники, они лежат в каталоге sys.
Дальше все зависит от версии FreeBSD. Для 32х битной каталог будет называться i386, для 64х битной – amd64. У меня 64х битная версия.
Переходим в каталог с конфигурацией ядра.