Настройка правил файервола

Материал из ISPWiki
Перейти к: навигация, поиск

При работе в сети Интернет ваш компьютер может подвергнуться различным атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр. Брандмауэр (другие названия - "Файерволл","Firewall", "Межсетевой экран") - это аппаратная или программная система, которая осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и предотвращает несанкционированный доступ.

Вы можете настроить фильтр сетевых соединений с сервисами в соответствии с определенными правилами, которые применяются брандмауэром. В данном случае правило - это разрешающее или запрещающее действие, применяемое при обнаружении попытки соединения с вашим сервером.

Модуль «Файервол»


T-bullet.png Просмотр списка правил
T-new.png Создание правила
T-edit.png Редактирование правила
T-delete.png Удаление правила
T-editlist.png Зависимые правила

Просмотр списка правил

  • Действие - действие над пакетом, в соответствии с установленным правилом:
    • Разрешить - фильтрация отключена, сервер принимает соединения с любого IP-адреса.
    • Частично разрешить - сервер принимает соединения только с определённых IP-адресов.
    • Запретить - сервер не принимает соединения ни с одного IP-адреса.
    • Частично запретить - сервер принимает соединения только с тех IP-адресов, которые не входят в список блокировки.
  • Протокол - протокол передачи данных.
  • Адрес источника - IP-адрес отправителя.
  • Порт - порт назначения.
  • Зависимые правила - количество зависимых правил.

Зависимыми правилами являются:

  1. для "частично запрещенных" сетей - правила брандмауэра для ip-адресов из данной сети с действием "запретить".
  2. для "частично разрешенных" сетей - правила брандмауэра для ip-адресов из данной сети с действием "разрешить".

Создание правила

Чтобы создать новое правило, нажмите кнопку "Создать" и заполните следующую форму:

Модуль «Файервол»
  • Действие - действие над сервисом или пакетом, в соответствии с установленным правилом
    • Разрешить - фильтрация отключена, сеть принимает соединения с любого IP-адреса.
    • Запретить - сеть не принимает соединения ни с одного IP-адреса.
    • Частично разрешить - соединения принимаются только с определённых IP-адресов.
      • Доверенные IP-адреса - укажите IP-адреса, которым вы хотите разрешить доступ к данной сети. [1]
    • Частично запретить - сеть принимает соединения только с IP-адресов, указанных в форме ниже.
      • Запрещенные IP-адреса - укажите IP-адреса, которым вы хотите запретить доступ к сети. [1]
  • Протокол - выберите протокол передачи данных и при необходимости в соответствующем поле укажите порт, на котором происходит соединение.
  • Адрес источника - IP-адрес источника. Вы можете указать как отдельный адрес, так и сеть в формате 8.8.8.0/24


Дополнительную информацию по добавлению правил брандмауэра можно прочитать по ссылке.

Редактирование правила

Чтобы изменить параметры существующего правила, выберите его из списка, нажмите кнопку "Изменить" и выполните редактирование. Форма для редактирования аналогична форме создания нового правила.

Удаление правила

Чтобы удалить правило, выберите его из списка и нажмите кнопку "Удалить". Для предотвращения случайного удаления программа попросит подтвердить или отменить ваши действия. После нажатия кнопки "ОК" выделенное правило будет удалено.

Зависимые правила

Правила Брандмауэра группируются следующим образом:

  • Если существует запрещающее правило для подсети и создано одно или более правил с типом действия "Разрешить" (для IP-адреса, принадлежащего закрытой подсети), то данные правила будут сгруппированы в "Частично разрешенное" правило.
  • Если существует разрешающее правило для подсети и создано одно или более правил с типом действия "Запретить" (для IP-адреса, принадлежащего открытой подсети), то данные правила будут сгруппированы в "Частично запрещенное" правило.

Дополнительная информация

ISPmanager не даст добавить в файервол правила, которые могут привести к потере контроля над сервером. А именно:

  • Нельзя закрыть свой ip адрес (с которого вы подключились).
  • Нельзя закрыть сеть, в которую входит ваш адрес (с которого вы подключились), если нет разрешающего правила для вашего адреса.
  • Нельзя сделать запрещающее правило на любой порт для любого ip адреса сервера, если нет ни одного разрешающего правила для этого сервера.

Отключить такое поведение системы можно добавив опцию в FirewallCheckAccess файл конфигурации ISPmanager

Option FirewallCheckAccess - данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.

Примечания

  1. 1,0 1,1 IP-адреса должны принадлежать выбранной сети.