Алгоритм работы модуля "Брандмауэр"
Введение
Брандмауэр является оберткой стандартных сетевых экранов ОС, на которые производится установка ISPmanager:
- Debian/CentOS — iptables (ip6tables)
Брандмауэр ISPmanager рассчитан только на фильтрацию входящего трафика.
Добавление правил брандмауэра
Debian/CentOS: при первом запуске ISPmanager, в iptables/ip6tables будут созданы следующие цепочки:
- ispmgr_deny_ip — содержит запрещенные ip-адреса
- ispmgr_allow_ip — содержит разрешенные ip-адреса
- ispmgr_allow_sub — содержит разрешенные подсети
- ispmgr_deny_sub — содержит запрещенные подсети
Данные цепочки добавляются в конец таблицы INPUT в порядке их описания.
В ОС CentOS в таблицу INPUT до создания указанных цепочек записываются разрешающие правила, необходимые для корректной работы панели управления и некоторых сервисов (FTP, WEB, EMAIL).
Для каждой цепочки выделен пул номеров размером в 10000 записей. Т.е. количество правил заданных в каждой из цепочек не должно превышать 10000, иначе это может привести к ошибке.
При добавлении/удалении каждого правила с помощью брандмауэра в панели управления производится проверка, не приведет ли это действие к недоступности сервера с IP-адреса, с которого осуществлено подключение к панели управления. Также проверяется, что IP-адреса сервера остаются доступными для запросов внутри самого сервера.
Правила, относящиеся к подсетям или конкретным IP-адресам сети другого правила логически группируются панелью управления и отображаются, как вложенные правила.
Дополнительные параметры
Все параметры добавляются в файл mgr5/etc/ispmgr.conf.
- Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.
Пути для файла правил
Debian
- /etc/ispiptable.conf /etc/ispip6table.conf
- Загрузка скриптом /etc/network/if-up.d/ispmgrfw
CentOS
- Стандартный /etc/sysconfig/iptables
Блокировка стран
В панелях ISPmanager Lite с версии 5.77.0 Блокировка стран больше недоступна в среде виртуализации OpenVZ.