Документация ISPmanager Lite

Настройка правил файервола

При работе в сети Интернет ваш компьютер может подвергнуться различным атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр. Брандмауэр (другие названия — "Файерволл","Firewall", "Межсетевой экран") — это аппаратная или программная система, которая осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и предотвращает несанкционированный доступ.

Вы можете настроить фильтр сетевых соединений с сервисами в соответствии с определенными правилами, которые применяются брандмауэром. В данном случае правило — это разрешающее или запрещающее действие, применяемое при обнаружении попытки соединения с вашим сервером.

Создание правила


Чтобы создать новое правило, нажмите кнопку "Создать" и заполните следующую форму:

  • Действие — действие над сервисом или пакетом, в соответствии с установленным правилом
    • Разрешить — фильтрация отключена, сеть принимает соединения с любого IP-адреса.
    • Запретить — сеть не принимает соединения ни с одного IP-адреса.
    • Частично разрешить — соединения принимаются только с определённых IP-адресов.
      • Доверенные IP-адреса — укажите IP-адреса, которым вы хотите разрешить доступ к данной сети.
    • Частично запретить — сеть принимает соединения только с IP-адресов, указанных в форме ниже.
      • Запрещенные IP-адреса — укажите IP-адреса, которым вы хотите запретить доступ к сети. 
  • Протокол — выберите протокол передачи данных и при необходимости в соответствующем поле укажите порт, на котором происходит соединение.
  • Адрес источника — IP-адрес источника. Вы можете указать как отдельный адрес, так и сеть в формате 8.8.8.0/24

Зависимые правила


Правила Брандмауэра группируются следующим образом:

  • Если существует запрещающее правило для подсети и создано одно или более правил с типом действия "Разрешить" (для IP-адреса, принадлежащего закрытой подсети), то данные правила будут сгруппированы в "Частично разрешенное" правило.
  • Если существует разрешающее правило для подсети и создано одно или более правил с типом действия "Запретить" (для IP-адреса, принадлежащего открытой подсети), то данные правила будут сгруппированы в "Частично запрещенное" правило.

Дополнительная информация


ISPmanager не даст добавить в файервол правила, которые могут привести к потере контроля над сервером. А именно:

  • Нельзя закрыть свой ip адрес (с которого вы подключились).
  • Нельзя закрыть сеть, в которую входит ваш адрес (с которого вы подключились), если нет разрешающего правила для вашего адреса.
  • Нельзя сделать запрещающее правило на любой порт для любого ip адреса сервера, если нет ни одного разрешающего правила для этого сервера.

Отключить такое поведение системы можно добавив опцию в FirewallCheckAccess файл конфигурации ISPmanager

Option FirewallCheckAccess — данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.