2. Параметры ядра

Прежде всего вам нужно перекомпилировать ваше ядро FreeBSD. Если вам нужна более подробная информация о том, как это сделать, то лучше всего начать с раздела Руководства о конфигурации ядра. Вам нужно включить в ядро следующие параметры:

options IPFIREWALL

Включает межсетевой экран в ядре.

options IPFIREWALL_VERBOSE

Посылает сообщения о журналируемых пакетах в системный журнал.

options IPFIREWALL_VERBOSE_LIMIT=100

Ограничивает количество записываемых в журнал совпадающих сообщений. Это позволяет избавиться от заполнения файлов протокола множеством повторяющихся записей. 100 является подходящим для использования параметром, но вы можете изменить его в зависимости от ваших потребностей.

options IPDIVERT

Включает использование перенаправляющих сокетов, что будет показано ниже.

Имеется также еще несколько НЕОБЯЗАТЕЛЬНЫХ параметров, которые вы можете указать в ядре для достижения дополнительной безопасности. Для работы межсетевого экрана этого не требуется, но некоторые параноидально настроенные пользователи могут все же ими воспользоваться.

options TCP_RESTRICT_RST

Этот параметр блокирует все пакеты TCP RST. Это лучше использовать в системах, которые могут подвергаться флуд-атакам SYN (хорошим примером являются серверы IRC) или теми, кто не хочет быть легко подвергнутым сканированию портов.

options TCP_DROP_SYNFIN

При использовании этого параметра TCP-пакеты с полями SYN и FIN игнорируются. Это позволит избежать распознавания используемого на машине типа стека такими утилитами, как nmap, но при этом нельзя будет использовать расширения RFC1644. Если на машине будет работать веб-сервер, делать это НЕ рекомендуется.

Не перезагружайте машину сразу же после перекомпиляции ядра. Для завершения настройки межсетевого экрана нам, к счастью, достаточно будет выполнить перезагрузку всего один раз .

Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам, связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.

Обновлено: 12.03.2015