Краткий курс по изменению и добавлению правил брандмауэра виртуальных серверов с помощью панели управления сетью.
Зачем это нужно?
При помощи брандмауэра, который настраивается непосредственно при помощи панели управления, появляется возможность контролировать доступ к серверам в общедоступной сети, а также управлять передачей входящего и исходящего трафика. Эта функция не требует дополнительной оплаты и включена в общую цену сети. Если вам потребуется больше, чем существующее сейчас ограничение в 50 правил для настройки межсетевого экрана, то вы можете обратиться в техническую поддержку с запросом на увеличение этого лимита.
Сетевая архитектура
Чтобы избежать конфликта правил брандмауэра и правильно настроить его, важно знать последовательность действий для уже существующих. Сначала можно изменить брандмауэр для локальной сети. Затем через панель управления следует настройка брандмауэра для сервера . Наконец, можно настроить брандмауэр внутри ОС, такой как iptables в ОС Linux или встроенный брандмауэр для Windows.
При обработке входящего трафика в первую очередь применяются правила на уровне сети (в случае их установки). Если проверку прошел пакет, то применяются правила серверного уровня, и в конце применяется внутри ОС. Однако, при обработке исходящих пакетов действия выполняются в обратной последовательности:
Создание правила
Настройка ограничений доступа возможна в меню Firewall в разделе сетевых настроек.
Важно:
– нужно учитывать непосредственно порядок правил. Чем меньше число, тем выше приоритет правила. Для изменения порядка используйте функцию Drag and Drop, перетаскивая правило левой кнопкой мыши в нужное положение;
– В отключенном состоянии входящий и исходящий трафик пропускается через маршрутизатор;
Трафик, который не соответствуют ни одному правилу, может быть разрешен или запрещен, по умолчанию разрешен. Для добавления правила нажимаем кнопку Добавить:
После этого появится окно создания правила, где вам нужно будет заполнить графы:
- Name – имя нового правила должно быть понятным пользователю и состоять из не больше, чем 50 символов. Обычно оно минимально описывает назначение этого правила;
- Action – Для действия, которое должно быть применено, доступно два варианта: “Allow” (разрешить) или “Deny” (запретить). “Allow” позволяет пересылку данных, а Deny запрет;
- Source/Destination – необходимо внести IP-адрес сервера или выбрать один из следующих вариантов: IP-адрес, CIDR, диапазон IP-адресов, any (любой), internal (внутренний) и external (внешний);
- SourcePort/DestinationPort – Если выбран протокол TCP, UDP или TCP and UDP ,то можно либо указать порт, либо диапазон портов, либо any;
- Protocol – тип сетевого протокола, доступно ANY, TCP, UDP, TCP and UDP и ICMP.
Для применения изменений нажмём Сохранить.
В данном случае, правило запрещает принимать входящий TCP трафик в диапазоне адресов 111.111.111.102-111.111.111.104:
Для активации созданного правила необходимо нажать на Сохранить. Можно добавить несколько правил и сохранить их одновременно.
По завершении, страница будет иметь примерно такой вид:
Пример настройки правил
Если номер правила ниже в списке, то его приоритет выше. К примеру, после создания правила, которое запрещает входящие TCP-соединения в некоем диапазоне адресов, мы сделаем правило, позволяющее входящие TCP-соединения на порт 443 с исходящим портом 443. Если сохранить эти настройки, порт 443 по-прежнему останется недоступным, так как запрещающее правило обладает более высоким приоритетом:
Для изменения приоритета правил, переместите разрешающее правило на верхнюю позицию, используя левую кнопку мыши, и сохраните внесенные изменения.
После сохранения порядок номеров правил поменяется, и их приоритет тоже соответственно изменится:
В новой конфигурации брандмауэра разрешены входящие TCP-соединения на порт 443 в определенный диапазон адресов. Однако TCP-пакеты, не соответствующие этим критериям, не будут пропускаться, а все другие не попадающие под эти правила пакеты, будут переданы в сеть.