Hardening FreeBSD

Ich stelle hier einige Tips zum absichern eines FreeBSD (z.B. als Firewall) Servers vor.
Der folgende Text erhebt keinerlei Anspruch auf vollständigkeit! Zudem empfehle ich dringendst die einzelnen Tips vorher auf einer Testkiste zu testen. Auch muss nicht alles so übernommen wie hier steht da einiges (z.B. ‚kern_securelevel=“3″‚, ’net.inet.tcp.blackhole=2‘ oder ‚console none unknown off insecure‘) vielleicht dem einen oder anderen setting zu viel ist. Auch sei die konsultation der Manpages sehr empfohlen.

„Dependency“: FreeBSD 5.3 oder höher
„Hardening FreeBSD“ weiterlesen

Port Forwarding Daemon

portfwd ist ein netter kleiner port forwarder mit schönen features die z.B. ein rinetd missen lässt.

U.a. wären da: Forwarding von TCP und UDP, FTP in aktiv oder passiv mode, transparenter proxymode (wenn vom OS bzw. kernel unterstützt), ein rudimentäres „loadbalancing“, mehrere lokale IPs unterstützt (mit unterschiedlichen forwarding möglichkeiten) und explizite angabe einer source Address pro forwarding möglich.

Es wird zwar seit 2007 nicht mehr weiterentwickelt aber das muss nicht unbedingt was heißen…

„Port Forwarding Daemon“ weiterlesen

Was war nochmal mit ethtool?

ethtool ist normalerweise auf allen Linux Rechnern drauf und kann mehr nette Dinge[tm] tuen als nur informationen über die NICs liefern.
Hier eine kleine Auswahl:

Die LEDs des NICs rythmisch blinken lassen um zu sehen welcher Anschluss z.B. eth0 ist. Nützlich wenn man mehr als einen hat und man $vor_ort_techniker zu einem NIC hindirigieren will.
# ethtool -p eth0

Selbsttest des NICs
# ethtool -t eth0 online
# ethtool -t eth0 offline (hier wird mehr getestet als bei online aber die Netzwerkconnektivität geht zeitweise verloren => use console)

Restart der autonegotiation wenn die mal wieder schiefgelaufen ist:
# ethtool -r eth0

Speed, Duplexmode und AutoNeg festnageln (z.b. wenn autoneg nicht funktioniert)
# ethtool -s eth0 speed 100 duplex full autoneg off