Настройка правил файрвола
При работе в сети Интернет ваш компьютер может подвергнуться различным атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр. Брандмауэр (другие названия: "Файрвол","Firewall", "Межсетевой экран") — это аппаратная или программная система, которая осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и предотвращает несанкционированный доступ.
Вы можете настроить фильтр сетевых соединений с сервисами в соответствии с определенными правилами, которые применяются брандмауэром. В данном случае правило — это разрешающее или запрещающее действие, применяемое при обнаружении попытки соединения с вашим сервером.
Для работы с брандмауэром перейдите в Администрирование → Брандмауэр.
Создание правила
Чтобы создать новое правило, нажмите кнопку "Создать" и заполните следующую форму:
- Действие — действие над сервисом или пакетом, в соответствии с установленным правилом:
- Разрешить — фильтрация отключена, сеть принимает соединения с любого IP-адреса;
- Запретить — сеть не принимает соединения ни с одного IP-адреса;
- Частично разрешить — соединения принимаются только с определённых IP-адресов.
- Доверенные IP-адреса — укажите IP-адреса, которым вы хотите разрешить доступ к данной сети.
- Частично запретить — сеть не принимает соединения только с IP-адресов, указанных в форме ниже.
- Запрещенные IP-адреса — укажите IP-адреса, которым вы хотите запретить доступ к сети.
- Протокол — выберите протокол передачи данных и при необходимости в соответствующем поле укажите порт, на котором происходит соединение.
- Адрес источника — IP-адрес источника. Вы можете указать как отдельный адрес, так и сеть в формате 8.8.8.0/24. Обратите внимание!Чтобы разрешить или запретить доступ с любого адреса, введите в поле Адрес источника 0.0.0.0
Зависимые правила
Правила Брандмауэра группируются следующим образом:
- если существует запрещающее правило для подсети и создано одно или более правил с типом действия "Разрешить" (для IP-адреса, принадлежащего закрытой подсети), то данные правила будут сгруппированы в "Частично разрешенное" правило;
- если существует разрешающее правило для подсети и создано одно или более правил с типом действия "Запретить" (для IP-адреса, принадлежащего открытой подсети), то данные правила будут сгруппированы в "Частично запрещенное" правило.
Правила для стран
Вы можете заблокировать доступ пользователей из определённых стран. Страна пользователя определяется по базам данных GeoIP. Чтобы настроить блокировку:
- Зарегистрируйтесь в сервисе MaxMind.
- Откройте интерфейс MaxMind и создайте лицензионный ключ: My account → Manage License Keys → Generate new license key. Активация ключа может занять до пяти минут.
- В панели управления создайте правила для стран:
- Перейдите в Брандмауэр → Страны.
- Откройте Настройки и введите лицензионный ключ MaxMind.
- Нажмите Ок. Модуль автоматически загрузит список стран.
- Чтобы настроить отдельные правила доступа, выберите в таблице страну → Заблокировать / Разблокировать. Статус доступа отображается в колонке Состояние. Обратите внимание!При включении Максимальной защиты будут заблокированы все сети всех стран.
Дополнительная информация
ISPmanager не даст добавить в файрвол правила, которые могут привести к потере контроля над сервером. Например:
- нельзя закрыть IP-адрес, с которого вы подключились;
- нельзя закрыть сеть, куда входит IP-адрес, с которого вы подключились, если нет разрешающего правила для вашего адреса;
- нельзя создать запрещающее правило на любой порт для любого IP-адреса сервера, если нет ни одного разрешающего правила для этого сервера.
Отключить такое поведение системы можно добавив опцию в FirewallCheckAccess файл конфигурации ISPmanager.
Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмауэра в независимости от ограничений самого модуля.