Firewall: настройка межсетевого экрана сети в панели управления
Инструкция по настройке правил Firewall для сетей виртуальных серверов в панели управления.
Что это такое?
С помощью межсетевого экрана прямо из панели управления можно управлять доступом к публичной сети серверов, входящими и исходящими пакетами данных. Данная опция отдельно не тарифицируется и входит в стоимость сети.
На данный момент существует ограничение в 50 правил, если вам будет недостаточно этого лимита, то увеличить его можно по запросу в техническую поддержку.
Сетевая архитектура
Для избежания конфликта правил межсетевого экрана и его правильной настройки необходимо понимать порядок действия существующих брандмауэров. Во-первых, вы можете настроить брандмауэр для частной сети. Во-вторых, для сервера через панель управления. В-третьих, вы можете настроить внутренний брандмауэр, например, для Linux через iptables, для Windows - встроенный.
Для входящих пакетов первым будет применяться брандмауэр на уровне сети (при наличии). Если пакет прошел, дальше будет применяться фаерволл на уровне сервера, в последнюю очередь будет использоваться внутренний программный механизм. Для исходящих пакетов будет применена обратная последовательность действий:
Создание правила
Конфигурация брандмауэра доступна для сетей и находится в настройках сети в разделе Firewall.
Важно:
- порядок правил имеет значение, чем меньше порядковый номер правила (чем выше он в списке), тем выше его приоритет. Изменять последовательность правил можно с помощью Drag and Drop, перетащив правило левой кнопкой мыши на нужную позицию;
- в состоянии выключен - все пакеты данных, как входящие, так и исходящие проходят через маршрутизатор;
Пакеты не попадающие ни под одно правило можно разрешить или запретить, по умолчанию они разрешены.
Для создания правила нажмите кнопку Добавить:
Перед вами откроется окно добавления правила. Необходимо заполнить следующие поля:
- Name - понятное для пользователя название (не более 50 символов), как правило кратко описывает назначение правила;
- Action - действие, которое необходимо применить, принимает одно из двух значений: Allow или Deny. Allow - разрешение пересылки пакетов данных, Deny - запрет пересылки;
- Source/Destination - нужно указать IP-адрес сервера или одно из значений: IP-адрес, CIDR, диапазон IP-адресов, any, internal и external;
- SourcePort/DestinationPort - при выборе протокола TCP, UDP или TCP and UDP возможно либо указать порт или диапазон портов, либо any;
- Protocol - тип протокола, доступно ANY, TCP, UDP, TCP and UDP и ICMP.
Для создания правила нажмите Сохранить.
В нашем примере правило блокирует входящие в сеть пакеты по протоколу Tcp на диапазон адресов 111.111.111.102-111.111.111.104:
Чтобы созданное правило вступило в силу необходимо сохранить изменения с помощью кнопки Сохранить. Вы можете создать несколько правил и затем сохранить все разом:
После этого страница будет выглядеть следующим образом:
Пример настройки приоритета правил
Чем меньше порядковый номер правила (чем выше оно в списке), тем выше его приоритет. Например, после того как было создано запрещающее правило для входящих Tcp пакетов на определенный диапазон адресов, создадим правило разрешающее получать входящие пакеты по 443 порту протокола Tcp с исходящего 443 порта. После сохранения изменений при такой конфигурации данный порт все также будет недоступен, в связи с тем, что запрещающее правило имеет более высокий приоритет:
Для изменения приоритета правил перетащите с помощью левой кнопки мыши разрешающее правило на первое место и сохраните изменения:
После сохранение порядковые номера правил изменятся, а также изменится их приоритет:
Теперь конфигурация брандмауэра позволяет пропускать в сеть на определенный диапазон адресов пакеты по протоколу Tcp по 443 порту, остальные пакеты Tcp проходить не будут, а все остальные не попадающие под правила пакеты будут проходить в сеть.