Документация ISPmanager 5 Business

/
/
/
Алгоритм работы модуля "Брандмауэр"

Алгоритм работы модуля "Брандмауэр"

Это документация по устаревшему продукту. Перейти в актуальную документацию

 

Введение

Брандмауэр является оберткой стандартных сетевых экранов ОС, на которые производится установка ISPmanager:

  • Debian/CentOS — iptables (ip6tables)

Брандмауэр ISPmanager рассчитан только на фильтрацию входящего трафика.

Добавление правил брандмауэра

Debian/CentOS: при первом запуске ISPmanager, в iptables/ip6tables будут созданы следующие цепочки:

  1. ispmgr_deny_ip — содержит запрещенные ip-адреса
  2. ispmgr_allow_ip — содержит разрешенные ip-адреса
  3. ispmgr_allow_sub — содержит разрешенные подсети
  4. ispmgr_deny_sub — содержит запрещенные подсети

Данные цепочки добавляются в конец таблицы INPUT в порядке их описания.

В ОС CentOS в таблицу INPUT до создания указанных цепочек записываются разрешающие правила, необходимые для корректной работы панели управления и некоторых сервисов (FTP, WEB, EMAIL).

Для каждой цепочки выделен пул номеров размером в 10000 записей. Т.е. количество правил заданных в каждой из цепочек не должно превышать 10000, иначе это может привести к ошибке.

Обратите внимание!
Параметры, добавленные в эти цепочки самостоятельно, могут быть некорректно распознаны и отредактированы из ISPmanager.
Обратите внимание!
Следует помнить, что правила описанные в брандмауэре ISPmanager, будут применяться для фильтрации сетевого трафика только после пользовательских правил, описанных до установки ISPmanager.
Обратите внимание!
Необходимо помнить, что при ручной настройке брандмауэра (в обход ISPmanager), использование модуля "Брандмауэр" может привести к неопределенному поведению firewall целевой ОС.

При добавлении/удалении каждого правила с помощью брандмауэра в панели управления производится проверка, не приведет ли это действие к недоступности сервера с IP-адреса, с которого осуществлено подключение к панели управления. Также проверяется, что IP-адреса сервера остаются доступными для запросов внутри самого сервера.

Правила, относящиеся к подсетям или конкретным IP-адресам сети другого правила логически группируются панелью управления и отображаются, как вложенные правила.

Дополнительные параметры

Все параметры добавляются в файл mgr5/etc/ispmgr.conf.

  • Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.

Пути для файла правил

Debian

  • /etc/ispiptable.conf /etc/ispip6table.conf
  • Загрузка скриптом /etc/network/if-up.d/ispmgrfw

CentOS

  • Стандартный /etc/sysconfig/iptables

Блокировка стран

Блокировка стран в среде виртуализации OpenVZ доступна в случае, если имеется один или несколько узлов кластера не использующих виртуализацию OpenVZ.

 

В этой статье