Алгоритм работы модуля "Брандмауэр"
  • Телефон
  • Почта
  • VK
  • Map

База знаний. Страница находится в стадии обновления.

Алгоритм работы модуля "Брандмауэр"

Введение

Брандмауэр является оберткой стандартных сетевых экранов ОС, на которые производится установка ISPmanager:

Debian/CentOS - iptables
FreeBSD - ipfw
Брандмауэр ISPmanager рассчитан только на фильтрацию входящего трафика.

Добавление правил брандмауэра

Debian/CentOS: при первом запуске ISPmanager, в iptables/ip6tables будут созданы следующие цепочки:

ispmgr_deny_ip - содержит запрещенные ip-адреса
ispmgr_allow_ip - содержит разрешенные ip-адреса
ispmgr_allow_sub - содержит разрешенные подсети
ispmgr_deny_sub - содержит запрещенные подсети
Данные цепочки добавляются в конец таблицы INPUT в порядке их описания.

Внимание: параметры, добавленные в эти цепочки самостоятельно, могут быть некорректно редактированы из ISPmanager.

Внимание: следует помнить, что правила описанные в брандмауэре ISPmanager, будут применяться для фильтрации сетевого трафика только после пользовательских правил описанных до установки ISPmanager.


FreeBSD: при первом запуске ISPmanager, в ipfw включаются set-ы с номерами:
27 - содержит запрещенные ip-адреса. Нумерация с 20000.
28 - содержит разрешенные ip-адреса. Нумерация с 30000.
29 - содержит разрешенные подсети. Нумерация с 40000.
30 - содержит запрещенные подсети. Нумерация с 50000.

Как можно заметить для каждого set-а выделен пул номеров размером в 10000 записей. Т.е. количество правил заданных в каждом из set-ов не должно превышать 10000 иначе это может привести к ошибке.

Внимание: необходимо помнить, что при ручной настройке брандмауэра (в обход ISPmanager), использование модуля "Брандмауэр" может привести к неопределенному поведению firewall целевой ОС.

Дополнительные параметры

Все параметры добавляются в файл mgr5/etc/ispmgr.conf.

Option FirewallCheckAccess - данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.

Наши новости

  • 19 июня 2023

    Уважаемые клиенты!

    Рады сообщить, что мы добавили новый тариф LXD Альфа Плюс в линейку виртуальных серверов LXD


ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 24/7:
+7(495) 641-64-01
+7(495) 640-79-39



АБОНЕНТСКИЙ ОТДЕЛ:
+7(495) 641-64-01
+7(495) 640-79-39


  • Оплата
  • Акции
  • База знаний
  • Looking Glass