документация

Документация

/
/
/
Алгоритм работы модуля "Брандмауэр"

Алгоритм работы модуля "Брандмауэр"

Введение

Брандмауэр является оберткой стандартных сетевых экранов ОС, на которые производится установка ISPmanager:

  • Debian/CentOS — iptables (ip6tables).

Брандмауэр ISPmanager рассчитан только на фильтрацию входящего трафика.

Добавление правил брандмауэра

Debian/CentOS: при первом запуске ISPmanager, в iptables/ip6tables будут созданы следующие цепочки:

  • ispmgr_deny_ip — содержит запрещенные IP-адреса;
  • ispmgr_allow_ip — содержит разрешенные IP-адреса;
  • ispmgr_allow_sub — содержит разрешенные подсети;
  • ispmgr_deny_sub — содержит запрещенные подсети.

Данные цепочки добавляются в конец таблицы INPUT в порядке их описания.

В ОС CentOS в таблицу INPUT до создания указанных цепочек записываются разрешающие правила, необходимые для корректной работы панели управления и некоторых сервисов (FTP, WEB, EMAIL).

Для каждой цепочки выделен пул номеров размером в 10000 записей. Т.е. количество правил заданных в каждой из цепочек не должно превышать 10000, иначе это может привести к ошибке.

Обратите внимание!
Параметры, добавленные в эти цепочки самостоятельно, могут быть некорректно распознаны и отредактированы из ISPmanager.
Обратите внимание!
Следует помнить, что правила описанные в брандмауэре ISPmanager, будут применяться для фильтрации сетевого трафика только после пользовательских правил, описанных до установки ISPmanager.
Обратите внимание!
Необходимо помнить, что при ручной настройке брандмауэра (в обход ISPmanager), использование модуля "Брандмауэр" может привести к неопределенному поведению firewall целевой ОС.

При добавлении/удалении каждого правила с помощью брандмауэра в панели управления производится проверка, не приведет ли это действие к недоступности сервера с IP-адреса, с которого осуществлено подключение. Также проверяется, что IP-адреса сервера остаются доступными для запросов внутри самого сервера. Например:

  • нельзя закрыть IP-адрес, с которого вы подключились;
  • нельзя закрыть сеть, куда входит IP-адрес, с которого вы подключились, если нет разрешающего правила для вашего адреса;
  • нельзя создать запрещающее правило на любой порт для любого IP-адреса сервера, если нет ни одного разрешающего правила для этого сервера.

Правила, относящиеся к подсетям или конкретным IP-адресам сети другого правила, логически группируются панелью управления и отображаются, как вложенные.

Дополнительные параметры

Все параметры добавляются в файл mgr5/etc/ispmgr.conf.

  • Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.

Пути для файла правил

Debian

  • /etc/ispiptable.conf /etc/ispip6table.conf
  • Загрузка скриптом /etc/network/if-up.d/ispmgrfw

CentOS

  • Стандартный /etc/sysconfig/iptables

Блокировка стран

С помощью встроенного модуля брандмауэра можно заблокировать доступ пользователей из определённых стран. Страна пользователя определяется по базам данных GeoIP. Модуль блокирует все сети, которые в базах GeoIP относятся к выбранным странам. При включении максимальной защиты будут заблокированы все сети всех стран. Подробнее см. статью Настройка правил файервола.

Чтобы посмотреть список заблокированных сетей, подключитесь к серверу с ISPmanager по SSH и выполните запрос:

ipset list
Обратите внимание!
Блокировка стран недоступна в среде виртуализации OpenVZ.

В этой статье