Tulemüüri seadistamine pühendatud serveril

Viimati muudetud: Wednesday November 22nd, 2023

Sissejuhatus

Online’i olekuta tulemüür on tasuta turvalahendus sinu pühendatud juurserverile. Kliendi piirkonnas saad kasutada tulemüüri funktsiooni, et määratleda oma filtriseaded sissetuleva ja väljuva liikluse jaoks.

Meie olekuta tulemüür, või staatiline tulemüür, ei paki lahti andmepakette; selle asemel kontrollitakse iga individuaalse paketi päist ja eelnevalt määratud seadete alusel otsustab tulemüür, kas lubada või keelata need paketid. Sel viisil takistab tulemüür volitamata juurdepääsu sinu serverile.

Kuid tulemüüride puhul on oluline meeles pidada, et nad ei tuvasta tegelikult iseenesest tehtud rünnakukatseid. Nad järgivad ainult ette määratud reeglite kogumit võrguühenduste jaoks.

Tulemüür Roboti klientidele (kes kasutavad pühendatud juurservreid) konfigureeritakse lülitusporti. Vaikimisi filtreerib tulemüür ainult IPv4 liiklust, täiendav IPv6 filter saab olla aktiveeritud valiku IPv6 pakettide filtreerimine kaudu.

Kuidas ma saan tulemüüri aktiveerida?

Saad tulemüüri aktiveerida, minnes Peamised funktsioonid -> Serverid. Vali seejärel server, mida soovid, mine Tulemüür-i ja aktiveeri see. Kui aktiveerid tulemüüri enne, kui oled sisestanud mingeid tulemüüri reegleid, siis blokeerid kogu sissetuleva liikluse.

Tulemüür muutub kohe aktiivseks ja konfigureeritakse lülitusporti. Konfiguratsioon võtab aega umbes 20–30 sekundit.

Tulemüüri reeglid

Igas suunas saad kasutada maksimaalselt 10 reeglit.

Parameeter

  • Nimi: Saad valida meelepärase nime. Ainult erilised tähemärgid pole lubatud.
  • IP versioon: IPv4 või IPv6 või pole määratletud (*)
  • Protokoll: Protokolli valik (näiteks TCP või UDP).
  • Siht-IP ja päritolu-IP: Saad sisestada IP-aadresse kas üksikute IP-adressidena või alamvõrguna CIDR notatsioonis (näiteks <192.168.0.1> või <192.168.0.0/30>). Kuna tulemüür on konfigureeritud lülitusporti, kehtib reegel ilma määratletud siht-IP-ta kõigi serveri IP-aadresside kohta.
  • Sihtport ja päritoluport: Saad sisestada porte kas üksikute portidena või portide vahemikuna (näiteks 80 või 32768-65535).
  • TCP lipud: Saad sisestada TCP lippe (syn, fin, rst, psh, urg) individuaalselt või loogilise kombinatsioonina (| loogiliseks VÕI = Vähemalt üks lipp peab olema seatud; & loogiliseks JAA = Kõik lipud peavad olema seatud).
  • Toiming: Toiming määratleb, mis peaks juhtuma pakettidega, kui reegel kehtib, see tähendab, see määratleb, kas paketid tuleks tagasi lükata (discard) või edastada (accept).

Prioriteet

Reeglid rakendatakse samas järjekorras, nagu need on kliendi piirkonnas määratletud. Neid täidetakse ülevalt alla. Reegleid saad muuta pärast nende sisestamist, kasutades iga reegli lõpus olevaid rohelisi nooli.

Kui reegel #1 ei kehti, kontrollitakse reeglit #2. Kui reegel #2 samuti ei kehti, siis kontrollitakse reeglit #3 ja nii edasi, kuni kehtib üks reegel ja pakett kas tagasi lükatakse või aktsepteeritakse vastavalt määratletud toimingu järgi. Kui näiteks kehtib teine reegel, siis kõiki reegleid pärast seda ei kontrollita. Kui ükski reegel ei kehti, siis paketti tagasi ei lükata.

IPv6 filter

IPv6 filter saab aktiveerida läbi “IPv6 filtri” märkeruudu.

Pange tähele, et kui IPv6 filter on aktiveeritud ja IPv6 pakettide jaoks pole veel reegleid loodud, siis blokeeritakse kogu IPv6 liiklus.

Kui sa ei määra reegli jaoks IP versiooni, siis reegel kehtib nii IPv4 kui ka IPv6 jaoks.

Piirangud IPv6

  • ICMPv6 protokolli ei saa filtreerida. ICMPv6 liiklus serverist ja serverisse on alati lubatud. ICMPv6 tuleb vaikimisi lubada, kuna see on oluline abiprotokoll ja on vajalik IPv6 toimimiseks.
  • Reeglite korral, millel on IP versioon IPv6 või IP versiooni määramata, pole võimalik filtreerida siht- ja päritolu-IP aadressi järgi.
  • Ilma IP versiooni täpsustamata ei saa filtreerida konkreetse protokolli järgi.

Märkused olekuta tulemüüri konfiguratsiooni kohta

Olekuta tulemüür teeb otsuseid ainult pakette uurides. Seetõttu ei “jälgigi” tulemüür, kas sissetulev pakett kuulub loodud ühendusse või mitte. Sellepärast, kui sa ei sisesta täiendavat reeglit, ei tööta kõik serverist väljuvad ühendused ja kui filtreerid väljaminevaid pakette, ei tööta ka kõik serverisse saabuvad ühendused, sest vastavaid vastusepakette vastupidises suunas ei saa enam filtri läbi lasta.

Sissetulev suund

Ilma täiendava reeglita ei saa ükski serverisse suunduv vastusepakk läbida tulemüüri.

Saad kasutada järgmist reeglit, et üldiselt lubada kõik vastused TCP-ühendustele:

 Source IP: No entry
 Destination IP: No entry
 Source port: No entry
 Destination port: 32768-65535 (Ephemeral Port Range)
 Protocol: tcp
 TCP flags: ack
 Action: accept

IP-aadresse ja TCP porte sisestades saad muidugi seda reeglit piirata.

Näide

Tulemüüris on määratletud järgmised reeglid:

Ainult HTTP-paketid on lubatud

Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Source port: Puudub sissekanne
Destination port: 80
Protocol: tcp
TCP flags: Puudub sissekanne
Action: aktsepteeri

Samamoodi nagu sissetuleva suuna puhul ei ole vastusepakkumisi automaatselt lubatud vastassuunas.

Kui on lubatud ainult teatud väljuvad paketid, siis ilma täiendavate reegliteta ei saa vastusepakkumised serverist serveri teenustele vastusteekonnale tulemüüri läbida.

Saad lisada üldreegli väljuvas suunas kõikide vastusepakkumiste lubamiseks:

Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Saatja port: Puudub sissekanne
Sihtport: 32768-65535 (Ephemeerse porti vahemik)
Protokoll: tcp
TCP lipud: ack
Toiming: aktsepteeri

Pange tähele, et tuleb arvestada kõigi klientide ephemeerse porti vahemikuga, mis võib erineda serveri porti vahemikust.

Lisaks on oluline reegel lubada pakette DNS-teenusele.

Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: 53
Protokoll: udp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Näide

Järgmised reeglid on tulemüüris määratletud:

Sissetulev: Piiranguid pole

Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: Puudub sissekanne
Protokoll: *
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri

Väljuv: Ainult HTTP- ja DNS-liiklus on lubatud

Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Source port: Puudub sissekanne
Destination port: 80
Protokoll: tcp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: 53
Protokoll: udp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri

Klient 4.3.2.1 loob ühenduse teie HTTP-serveriga 1.2.3.4.

Allika IP: 4.3.2.1
Destination IP: 1.2.3.4
Source port: 44563 (juhuslik port ephemeersest porti vahemikust)
Destination port: 80
Protokoll: tcp
TCP lipud: syn

See pakett saab tulemüüri läbida, kuna kõik liiklus on lubatud.

Server soovib vastata ühendusepäringule SYN & ACK-paketiga:

Allika IP: 1.2.3.4
Destination IP: 4.3.2.1
Source port: 80
Destination port: 44563
Protokoll: tcp
TCP lipud: syn & ack

See pakett ei saa tulemüüri läbida väljamineva suuna tõttu, kuna väljaminev TCP liiklus on lubatud ainult pordile 80.

Abinõuks on kas üldreegel nagu eespool kirjeldatud või erireegel, et lubada ainult veebiserveri vastuseid:

Allika IP: pole määratud
Destination IP: pole määratud
Source port: 80
Destination port: 32768-65535 (Ephemeerse porti vahemik)
Protokoll: tcp
TCP lipud: ack
Toiming: aktsepteeri

Tulemüüri mallid

Kui klõpsate serveri ülevaates nupul Tulemüüri mallid (Peamised funktsioonid -> Serverid), saate luua oma reeglistiku. Seejärel saate need reeglid kleepida serverite tulemüüri konfigureerimise rippmenüü kaudu ja konfigureerida need.

Lisaks on vaikimisi mitu eelnevalt määratletud näidismalli tavapäraste serveriteenuste jaoks.

Was this article helpful?
Vaatamised: 303

BeeHosting 10 Sünnipäev!
Kuni 70% allahindlus kõikidelt teenustelt
+ tasuta veebisaidi ülekanne.

Facebook Instagram linkedin

Beehosting.pro website uses cookies

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you’ve provided to them or that they’ve collected from your use of their services.

Menüü