Firewall (файрвол) — это система фильтрации сетевых запросов или набор правил, с помощью которых можно защитить свои виртуальные серверы от возможных входящих или исходящих атак.
Файрвол настраивается на боксе при помощи специальных программ (iptables, fail2ban, UFW) или более надежным способом, который не зависит от состояния виртуальной машины — с помощью раздела «Файрвол» в Панели управления Спринтбокс.
Этот раздел позволяет настроить правила на уровне выше виртуальной машины. Если встроенный файрвол не будет работать из-за непредвиденных ошибок на боксе, наш файрвол продолжит его защищать.
Как пользоваться?
При помощи файрвола в Панели управления задаются только разрешающие правила. Запросы по протоколам, портам и с IP-адресов, не включенных в список разрешенных, не будут пропускаться системой фильтрации и будут недоступны для использования.
При настройке правил важно учитывать особенности вашей ОС или окружения. Например, если для бокса на чистой CentOS разрешить только 22 порт TCP, то подключение к нему по SSH занимает более 10-и секунд, и для полноценной работы нужно разрешить еще 53 порт DNS UDP. Ubuntu же этого не требует.
Также стоит обратить внимание на то, включён ли бокс в приватную сеть, так как правила файрвола работают и на запросы в ней. Чтобы этого избежать просто добавьте приватный IP-адрес в правило.
Для боксов со стеком LAMP доступны вкладки с шаблонами, которые автоматически разрешают все стандартные соединения. Например, если на боксе есть панель ISPManager, шаблон «LAMP + ISPManager» позволит работать с самой панелью, почтой, сайтами по HTTP/HTTPS и выполнять соединения с другими ресурсами.
В файрволе есть два блока правил для запросов:
- входящих — поступают извне к вашим боксам;
- исходящих — поступают из вашего бокса к другим ресурсам.
Можно добавить правило вручную или выбрать готовое правило в выпадающем списке. После выбора типа запросов поля «Протокол», «Порты» и «IP-адреса» заполняются автоматически. Вы можете изменить их в соответствии с особенностями вашего сервера.
В поле «IP-адреса» по умолчанию добавлено два значения: все IPv4 и все IPv6. Чтобы запретить доступ для всех, кроме себя, удалите обе записи и добавьте только те IP или маски подсети, которые будете использовать сами. Не забудьте разрешить доступ и по другим протоколам/портам, которыми планируете пользоваться.
Во вкладке «Настройка файрвола» вы можете редактировать имеющиеся наборы правил и добавлять новые, а во вкладке «Настройка боксов» — включать или отключать эти правила для ваших серверов. Один и тот же набор правил можно применить как к одному, так и ко всем боксам на вашем аккаунте.
Примеры
Так будет выглядеть правило, запрещающее все входящие и исходящие соединения (включая запросы к сайтам), оставляя доступ только для IP 8.8.8.8 по SSH на порту 22:
А так будут выглядеть правила, разрешающие доступ только к сайтам бокса или к сторонним сайтам с него же:
Файрвол не гарантирует стопроцентную защиту, злоумышленники могут направлять многочисленные пакеты данных по открытым портам. Если вы столкнулись с атакой на ваш сервер, советуем настроить фильтрацию на уровне вашего виртуального сервера или воспользоваться услугами специализированных компаний.
А если исходящую с бокса вредоносную активность не остановить вовремя, от владельцев атакуемых серверов будут поступать претензии, которые мы перенаправим вам. В случае продолжительных атак мы принудительно отключим вредоносный бокс от сети. Если это произошло, советуем обратить внимание на нашу статью о дальнейших действиях.