Брандмауэр - первая линия защиты любого сервера, и от его правильной настройки зависит, сможет ли злоумышленник продвинуться дальше в своих попытках проникновения в систему. Современные файеры предлагают множество механизмов обеспечения безопасности, используя которые ты можешь оставить "не удел" 99% атакующих. И все это без необходимости покупки дорогостоящего оборудования и коммерческого софта.

Главная цель всех взломщиков-получение доступа к командному интерпретатору сервера для использования его возможностей в своих интересах. Наиболее часто проникновение в "святая святых" осуществляется с помощью дыр в сервисах или же через подбор пароля (брут- форс) к одному из них (например, ssh). Сканирование портов. Чтобы выявить наличие уязвимых сервисов на машине, атакующий производит разведку с помощью сканера портов и различных систем обнаружения уязвимостей.

Обычно в качестве сканера портов используется nmap, который способен осуществлять сканирование десятком различных способов и в некоторых случаях умеет выявлять версии ОС и сервисов. Вот список особенно популярных флагов nmap, которые обычно используют взломщики. Метод защиты от сканирования прост и известен любому системному администратору. Заключается он в простом закрытии всех сервисов, которые не должны быть видны из внешней сети.

Все три набора правил делают одно и то же -разрешают прохождение любого трафика по интерфейсу обратной петли (loopback), разрешают принимать пакеты уже установленных соединений (чтобы, например, браузер мог получить ответ на запрос к удаленному серверу), разрешают обращения на 80-й порт, блокируя все остальные, и разрешают любые коннекты наружу.

Обрати внимание, что если в примерах iptables и ipfw мы явно задали правила для разрешения приема пакетов уже установленных соединений (established), то в случае с pf для этого достаточно было указать "keep state" в рулесете, разрешающем любые исходящие соединения. В общем-то, такая схема защиты сетевых сервисов от сканирования и проникновения отлично работает, но мы можем пойти дальше и настроить файер так, чтобы некоторые виды сканирования вообще не могли бы быть выполнены.

Технически мы не можем сделать это в отношении обычного сканирования (флаги nmap sT, sS и sU) просто потому, что в нем нет ничего криминального, однако нестандартные типы сканирования, такие как sN, sF и sX, порождают пакеты, которые никакие могли быть созданы легальными приложениями. Поэтому без тени сомнения отбрасываем подобные соединения. Директива scrub активирует механизм нормализации пакетов, при котором фрагментированные пакеты воссоединяются, а пакеты с недопустимой комбинацией флагов отбрасываются.