Новости
Запуск новой услуги: Video on Demand (VoD) уже в панели управления!
Serverspace Black Friday
АМ
сентября 26, 2019
Обновлено июня 6, 2023

Firewall: настройка межсетевого экрана сети в панели управления

VPS Панель управления Сети

Инструкция по настройке правил Firewall для сетей виртуальных серверов в панели управления.

Что это такое?

С помощью межсетевого экрана прямо из панели управления можно управлять доступом к публичной сети серверов, входящими и исходящими пакетами данных. Данная опция отдельно не тарифицируется и входит в стоимость сети.

На данный момент существует ограничение в 50 правил, если вам будет недостаточно этого лимита, то увеличить его можно по запросу в техническую поддержку.

Сетевая архитектура

Для избежания конфликта правил межсетевого экрана и его правильной настройки необходимо понимать порядок действия существующих брандмауэров. Во-первых, вы можете настроить брандмауэр для частной сети. Во-вторых, для сервера через панель управления. В-третьих, вы можете настроить внутренний брандмауэр, например, для Linux через iptables, для Windows - встроенный.

Для входящих пакетов первым будет применяться брандмауэр на уровне сети (при наличии). Если пакет прошел, дальше будет применяться фаерволл на уровне сервера, в последнюю очередь будет использоваться внутренний программный механизм. Для исходящих пакетов будет применена обратная последовательность действий:

screenshot_152

Создание правила

Конфигурация брандмауэра доступна для сетей и находится в настройках сети в разделе Firewall.

Важно:
- порядок правил имеет значение, чем меньше порядковый номер правила (чем выше он в списке), тем выше его приоритет. Изменять последовательность правил можно с помощью Drag and Drop, перетащив правило левой кнопкой мыши на нужную позицию;
- в состоянии выключен - все пакеты данных, как входящие, так и исходящие проходят через маршрутизатор;

Пакеты не попадающие ни под одно правило можно разрешить или запретить, по умолчанию они разрешены.

Для создания правила нажмите кнопку Добавить:

screenshot_153

Перед вами откроется окно добавления правила. Необходимо заполнить следующие поля:

  • Name - понятное для пользователя название (не более 50 символов), как правило кратко описывает назначение правила;
  • Action - действие, которое необходимо применить, принимает одно из двух значений: Allow или Deny. Allow - разрешение пересылки пакетов данных, Deny - запрет пересылки;
  • Source/Destination - нужно указать IP-адрес сервера или одно из значений: IP-адрес, CIDR, диапазон IP-адресов, any, internal и external;
  • SourcePort/DestinationPort - при выборе протокола TCP, UDP или TCP and UDP возможно либо указать порт или диапазон портов, либо any;
  • Protocol - тип протокола, доступно ANY, TCP, UDP, TCP and UDP и ICMP.

Для создания правила нажмите Сохранить.

В нашем примере правило блокирует входящие в сеть пакеты по протоколу Tcp на диапазон адресов 111.111.111.102-111.111.111.104:

screenshot_154

Чтобы созданное правило вступило в силу необходимо сохранить изменения с помощью кнопки Сохранить. Вы можете создать несколько правил и затем сохранить все разом:

screenshot_155

После этого страница будет выглядеть следующим образом:

screenshot_156

Пример настройки приоритета правил

Чем меньше порядковый номер правила (чем выше оно в списке), тем выше его приоритет. Например, после того как было создано запрещающее правило для входящих Tcp пакетов на определенный диапазон адресов, создадим правило разрешающее получать входящие пакеты по 443 порту протокола Tcp с исходящего 443 порта. После сохранения изменений при такой конфигурации данный порт все также будет недоступен, в связи с тем, что запрещающее правило имеет более высокий приоритет:

screenshot_157

Для изменения приоритета правил перетащите с помощью левой кнопки мыши разрешающее правило на первое место и сохраните изменения:

screenshot_158

После сохранение порядковые номера правил изменятся, а также изменится их приоритет:

screenshot_159

Теперь конфигурация брандмауэра позволяет пропускать в сеть на определенный диапазон адресов пакеты по протоколу Tcp по 443 порту, остальные пакеты Tcp проходить не будут, а все остальные не попадающие под правила пакеты будут проходить в сеть.

Оценка:
5 из 5
Аverage rating : 5
Оценок: 1
220140 Минск ул. Домбровская, д. 9
+375 (173) 88-72-49
700 300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700 300