[Igor_I]

netstat
http://www.freebsd.org/doc/ru_RU.KOI.../portsnap.html
http://www.freebsd.org/doc/ru_RU.KOI...walls-ipf.html

[Fet]

во 2 вопросе я имел ввиду системные обновленя, а в 3 вопросе я знаю, как настраивать фаервол, но не понимаю суть настройки фаевола (т.е. что блокировать, что пропускать)

[Igor_I]

http://www.freebsd.org/doc/ru_RU.KOI...ook/cvsup.html
releng указывать обязательно - http://www.freebsd.org/releng/ по аналогии с http://www.freebsd.org/doc/ru_RU.KOI.../cvs-tags.html
То есть на данный момент RELENG_7_1

Цитата Fet:

(т.е. что блокировать, что пропускать) »

Фиг его знает
браузер - 80 порт, хотя может и 8080, и 443, и 53
в остальных смотри порты по умолчанию.

[leonty]

Цитата Igor_I:

браузер - 80 порт, хотя может и 8080, и 443, и 53 »

53 порт используется для связи с ДНС (udp)
443 порт это секурный хттпс
на 80 порту обычно висит апач, ну или какой либо другой веб сервер.
8080 обычно используется прокси сервером.

Цитата Fet:

Как настроить IPF что бы безопасно работали: браузер, icq, irc, torrent клиент, skype? »

делаешь по умолчанию правило " запретить все". Далее разрешаешь только исходящие соединения со своего интерфейсаю. Например для браузера
разрешить исходящие соединения с моего интерфейса любого потра по протоколу tcp на любой ИП адрес порт 80
Примерно так.

[Fet]

по совету leonty IPF настроил для начала так:
block in log all
block out log all
pass out proto tcp/udp
но браузер не работает...как быть?

[Igor_I]

block in log all
block out log all
Вот и смотри лог.
Хотя по ipf не советчик.

[leonty]

так-с, давай разбиремся
block in log all #заблокировал все входящие соединения с протоколированием
block out log all #заблокировал все исходящие соединения с протоколированием
pass out proto tcp/udp #разрешил исходящие соединения по протоколам tcp/udp

На синтаксис сейчас не буду обращать внимания, разберем логику работы.

1. Необходимо уточнить в документации к IPF, где задается правило по умолчанию. Например в PF это самое перове, потом идут исключения, в IPFW вроде как наоборот, правило по умолчнаию задается последним.

2. Третьим правилом ты разрешил все исходящие соединения, так? а ответ как придет?

3. Как уже сказал Igor_I, смотри лог. Еще не забываем про tcpdump/

[Igor_I]

Цитата leonty:

в IPFW вроде как наоборот, правило по умолчнаию задается последним »

Так и есть.
Сначало пропускаешь что-то, потом запрещаешь что-то, а в конце используется правило по умолчанию для того что осталось.

[Fet]

Цитата leonty:

1. Необходимо уточнить в документации к IPF, где задается правило по умолчанию

->

Цитата Handbook:

Система динамически загрузит модуль IPF, если в rc.conf указана переменная ipfilter_enable="YES". Модуль создается с включенным протоколированием и правилом по умолчанию block all (пропускать все). Для изменения правила по умолчанию не обязательно собирать ядро с новыми параметрами. Просто добавьте в конец набора правило, блокирующее все пакеты.

Тут все не так как на практике. Например:

Цитата Handbook:

block all (пропускать все)

Путем проб и ошибок я понял что нужно правило по умолчанию распологать в начале, а затем идут исключения.

Цитата leonty:

2. Третьим правилом ты разрешил все исходящие соединения, так? а ответ как придет?

Ты же сам сказал:

Цитата leonty:

Далее разрешаешь только исходящие соединения со своего интерфейсаю

ЗЫ: Когда смотрел netstat у браузера постоянно менялся порт, да еще и не один!
вопрос: как его заставить работать под одним портом?