ispmanager 6 lite, pro, host

Настройка правил файрвола

 

При работе в сети Интернет ваш компьютер может подвергнуться различным атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр. Брандмауэр (другие названия: "Файрвол","Firewall", "Межсетевой экран") — это аппаратная или программная система, которая осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и предотвращает несанкционированный доступ.

Вы можете настроить фильтр сетевых соединений с сервисами в соответствии с определенными правилами, которые применяются брандмауэром. В данном случае правило — это разрешающее или запрещающее действие, применяемое при обнаружении попытки соединения с вашим сервером.

Для работы с брандмауэром перейдите в Администрирование → Брандмауэр.

Создание правила

Чтобы создать новое правило, нажмите кнопку "Создать" и заполните следующую форму:

  1. Действие — действие над сервисом или пакетом, в соответствии с установленным правилом:
    • Разрешить — фильтрация отключена, сеть принимает соединения с любого IP-адреса;
    • Запретить — сеть не принимает соединения ни с одного IP-адреса;
    • Частично разрешить — соединения принимаются только с определённых IP-адресов.
      • Доверенные IP-адреса — укажите IP-адреса, которым вы хотите разрешить доступ к данной сети.
    • Частично запретить — сеть не принимает соединения только с IP-адресов, указанных в форме ниже.
      • Запрещенные IP-адреса — укажите IP-адреса, которым вы хотите запретить доступ к сети. 
  2. Протокол — выберите протокол передачи данных и при необходимости в соответствующем поле укажите порт, на котором происходит соединение.
  3. Адрес источника — IP-адрес источника. Вы можете указать как отдельный адрес, так и сеть в формате 8.8.8.0/24.
    Обратите внимание!
    Чтобы разрешить или запретить доступ с любого адреса, введите в поле Адрес источника 0.0.0.0

Зависимые правила

Правила Брандмауэра группируются следующим образом:

  • если существует запрещающее правило для подсети и создано одно или более правил с типом действия "Разрешить" (для IP-адреса, принадлежащего закрытой подсети), то данные правила будут сгруппированы в "Частично разрешенное" правило;
  • если существует разрешающее правило для подсети и создано одно или более правил с типом действия "Запретить" (для IP-адреса, принадлежащего открытой подсети), то данные правила будут сгруппированы в "Частично запрещенное" правило.

Правила для стран

Вы можете заблокировать доступ пользователей из определённых стран. Страна пользователя определяется по базам данных GeoIP. Чтобы настроить блокировку:

  1. Зарегистрируйтесь в сервисе MaxMind.
  2. Откройте интерфейс MaxMind и создайте лицензионный ключ: My account → Manage License Keys → Generate new license key. Активация ключа может занять до пяти минут.
  3. В панели управления создайте правила для стран:
    1. Перейдите в Брандмауэр → Страны.
    2. Откройте Настройки и введите лицензионный ключ MaxMind.
    3. Нажмите Ок. Модуль автоматически загрузит список стран.
    4. Чтобы настроить отдельные правила доступа, выберите в таблице страну → Заблокировать / Разблокировать. Статус доступа отображается в колонке Состояние.
      Обратите внимание!
      При включении Максимальной защиты будут заблокированы все сети всех стран.

Дополнительная информация

ISPmanager не даст добавить в файрвол правила, которые могут привести к потере контроля над сервером. Например:

  • нельзя закрыть IP-адрес, с которого вы подключились;
  • нельзя закрыть сеть, куда входит IP-адрес, с которого вы подключились, если нет разрешающего правила для вашего адреса;
  • нельзя создать запрещающее правило на любой порт для любого IP-адреса сервера, если нет ни одного разрешающего правила для этого сервера.

Отключить такое поведение системы можно добавив опцию в FirewallCheckAccess файл конфигурации ISPmanager.

Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмауэра в независимости от ограничений самого модуля.