ispmanager 6

/
/
Альтернативная настройка брандмауэра

Альтернативная настройка брандмауэра

Для чего это нужно

В некоторых случаях требуется полностью закрыть сетевой доступ к серверу. Например, если сервер находится в локальной сети и используется NAT. 
Однако для корректной работы панели и её модулей, им необходим доступ во внешнюю сеть.

Необходимые настройки можно внести в брандмауэр системы через интерфейс панели в разделе "Администрирование" → "Брандмауэр", внести вручную, либо использовать брандмауэр вашей сети.

Команды настроек зависят от вашей задачи и окружения.

 

Инструкция

Порты

Необходимо открыть следующие TCP-порты:

  • 20 - для передачи данных по FTP;
  • 21 - для передачи команд по FTP;
  • 22 - для удалённого доступа к серверам по протоколу SSH;
  • 110, 143, 993, 995, 587, 465, 25 - для отправки и получения почтовых сообщений;
  • 80 и 443 - для обслуживания запросов пользователей к сайтам на сервере с ispmanager;
  • 53 - для работы серверов доменных имён;
  • 3306 - для удалённого доступа к серверу баз данных;
  • 5432 - для подключения напрямую к процессу PostgreSQL;
  • 1500 -  для доступа к веб-интерфейсу ispmanager;
  • 1501 - для работы веб-приложений по SSL;
  • 3310 - 3330 - для работы альтернативных СУБД;
  • 35000 - 35999 - пассивные порты для работы FTP-сервера.

Дополнительно потребуется открыть порт 53 для работы по UDP.

Если вы используете собственный порт для протокола SSH, также добавьте его в исключения.

 

IP-адреса

Для работы самой панели, требуется предоставить доступ к следующим IP-адресам:

31.135.15.94
49.12.188.32
195.140.146.45
108.156.22.70
108.156.22.95
108.156.22.35
108.156.22.56
212.109.222.143
212.109.222.131
144.76.174.134
37.19.202.35 
2a02:6ea0:dd00::4

Для работы Docker, а следовательно и возможности установки альтернативных СУБД, разрешите следующие адреса:

44.193.181.103
44.219.3.189
3.224.227.198
2600:1f18:2148:bc01:2822:9e2a:c82a:af0
2600:1f18:2148:bc00:a518:1574:fea8:ccdb
2600:1f18:2148:bc02:4f78:625e:1ac1:714c

 

Для корректной работы сервисов Cloudflare и Let's Encrypt, добавьте адреса из официального перечня Cloudflare.

 

Также потребуется добавить IP-адреса репозиториев операционных систем.

Найти файлы репозиториев вы можете по следующим путям:

  • Для Debian-base систем:
    • /etc/apt/sources.list - файл с основными системными репозиториями;
    • /etc/apt/sources.list.d/ - каталог с прочими файлами репозиториев, включая репозитории ispamanager.
  • Для RHEL-base систем:
    • /etc/yum.repos.d/ - общий каталог для всех файлов репозиториев. 

 

Поскольку IP-адреса доменных имен репозиториев и их зеркал могу изменяться, необходимо узнавать их адреса во время настройки.

Сделать это можно с помощью утилиты "dig". Например:

$ dig archive.ubuntu.com +short
91.189.91.83
185.125.190.36
185.125.190.39

Если нужно получить IPv6-адреса, добавьте параметр "АААА":

$ dig AAAA archive.ubuntu.com +short
2620:2d:4000:1::19
2620:2d:4002:1::101
2620:2d:4000:1::16

 

Обращаем ваше внимание, что во всех списках возможны изменения.