Настройка правил файрвола

При работе в сети Интернет ваш компьютер может подвергнуться различным атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр. Брандмауэр (другие названия: "Файрвол","Firewall", "Межсетевой экран") — это аппаратная или программная система, которая осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и предотвращает несанкционированный доступ.

Вы можете настроить фильтр сетевых соединений с сервисами в соответствии с определенными правилами, которые применяются брандмауэром. В данном случае правило — это разрешающее или запрещающее действие, применяемое при обнаружении попытки соединения с вашим сервером.

Для работы с брандмауэром перейдите в Настройки кластера → Брандмауэр.

Создание правила

Чтобы создать новое правило, нажмите кнопку "Создать" и заполните следующую форму:

1. Действие — действие над сервисом или пакетом, в соответствии с установленным правилом:
   • Разрешить — фильтрация отключена, сеть принимает соединения с любого IP-адреса;
   • Запретить — сеть не принимает соединения ни с одного IP-адреса;
   • Частично разрешить — соединения принимаются только с определённых IP-адресов.
     • Доверенные IP-адреса — укажите IP-адреса, которым вы хотите разрешить доступ к данной сети.
   • Частично запретить — сеть принимает соединения только с IP-адресов, указанных в форме ниже.
     • Запрещенные IP-адреса — укажите IP-адреса, которым вы хотите запретить доступ к сети. 
2. Протокол — выберите протокол передачи данных и при необходимости в соответствующем поле укажите порт, на котором происходит соединение.
3. Адрес источника — IP-адрес источника. Вы можете указать как отдельный адрес, так и сеть в формате 8.8.8.0/24.
   Обратите внимание!

   Чтобы разрешить или запретить доступ с любого адреса, введите в поле Адрес источника 0.0.0.0

Зависимые правила

Правила Брандмауэра группируются следующим образом:

• если существует запрещающее правило для подсети и создано одно или более правил с типом действия "Разрешить" (для IP-адреса, принадлежащего закрытой подсети), то данные правила будут сгруппированы в "Частично разрешенное" правило;
• если существует разрешающее правило для подсети и создано одно или более правил с типом действия "Запретить" (для IP-адреса, принадлежащего открытой подсети), то данные правила будут сгруппированы в "Частично запрещенное" правило.

Правила для стран

Вы можете заблокировать доступ пользователей из определённых стран. Страна пользователя определяется по базам данных GeoIP. Чтобы настроить блокировку:

1. Зарегистрируйтесь в сервисе MaxMind.
2. Откройте интерфейс MaxMind и создайте лицензионный ключ: My account → Manage License Keys → Generate new license key. Активация ключа может занять до пяти минут.
3. В панели управления создайте правила для стран:
   1. Перейдите в Брандмауэр → Страны.
   2. Откройте Настройки и введите лицензионный ключ MaxMind.
   3. Нажмите Ок. Модуль автоматически загрузит список стран.
   4. Чтобы настроить отдельные правила доступа, выберите в таблице страну → Заблокировать / Разблокировать. Статус доступа отображается в колонке Состояние.
      Обратите внимание!

      При включении Максимальной защиты будут заблокированы все сети всех стран.
      

Дополнительная информация

ISPmanager не даст добавить в файрвол правила, которые могут привести к потере контроля над сервером. Например:

• нельзя закрыть IP-адрес, с которого вы подключились;
• нельзя закрыть сеть, куда входит IP-адрес, с которого вы подключились, если нет разрешающего правила для вашего адреса;
• нельзя создать запрещающее правило на любой порт для любого IP-адреса сервера, если нет ни одного разрешающего правила для этого сервера.

Отключить такое поведение системы можно добавив опцию в FirewallCheckAccess файл конфигурации ISPmanager.

Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмауэра в независимости от ограничений самого модуля.