Ugunsmūra konfigurēšana uz dediķētā servera

Pēdējās izmaiņas: Wednesday November 22nd, 2023

Šis raksts apraksta, kā aktivizēt ugunsmūri.

Ievads

Online bezstāvokļa ugunsmūris ir bezmaksas drošības risinājums jūsu dedicētajam saknes serverim. Klienta zonā jūs varat izmantot ugunsmūra funkciju, lai definētu savus filtrēšanas iestatījumus ienākošai un izejošai datu plūsmai.

Izmantojot mūsu bezstāvokļa ugunsmūri vai statisko ugunsmūri, datu paketes netiek atvērtas; drīzāk tiek inspicēta katra atsevišķā paketes galva, un, atkarībā no iepriekš definētajiem iestatījumiem, ugunsmūris izlems, vai atļaut vai noraidīt šīs paketes. Šādā veidā ugunsmūris novērš nevēlamu piekļuvi jūsu serverim.

Tomēr, strādājot ar ugunsmūriem, ir svarīgi atcerēties, ka tie patiesi neatpazīst uzbrukuma mēģinājumus. Tie tikai izpilda tīkla sakaru noteikumu kopumu.

Robot klientu (kuri izmanto dedicētus saknes serverus) ugunsmūris tiek konfigurēts uz slēdža portu. Pēc noklusējuma ugunsmūris filtrē tikai IPv4 trafiku, papildu IPv6 filtru var iespējot, izmantojot opciju Filtrēt IPv6 paketes.

Kā es varu aktivizēt ugunsmūri?

Ugunsmūri varat aktivizēt, dodoties uz Galvenās funkcijas -> Serveri. Pēc tam izvēlieties serveri, uz kuru vēlaties doties, dodies uz Ugunsmūris un to aktivizē. Ja aktivizējat ugunsmūri, pirms ievadat ugunsmūra noteikumus, bloķēsit visu ienākošo datu plūsmu.

Ugunsmūris tūlīt kļūst aktīvs un tiek konfigurēts uz slēdzi. Konfigurācija aizņem aptuveni 20-30 sekundes.

Ugunsmūra likumi

Varat izmantot līdz 10 noteikumiem vienā virzienā.

Parametri

  • Nosaukums: Jūs varat izvēlēties jebkādu nosaukumu. Tikai īpašie simboli nav atļauti.
  • IP versija: IPv4 vai IPv6 vai nenurodot (*)
  • Protokols: Protokola izvēle (piemēram, TCP vai UDP).
  • Mērķa IP un avota IP: IP adreses var ievadīt kā atsevišķas IP vai subnetu CIDR notācijā (piemēram, <192.168.0.1> vai <192.168.0.0/30>). Tā kā ugunsmūris tiek konfigurēts slēdža portā, noteiktos iestatījumus bez norādītās destiantion IP piemēros visām servera IP adresēm.
  • Mērķa ports un avota ports: Portus var ievadīt kā atsevišķus portus vai portu diapazonus (piemēram, 80 vai 32768-65535).
  • TCP karogi: TCP karogus (syn, fin, rst, psh, urg) var ievadīt atsevišķi vai loģiskā kombinācijā (| par loģisko OR = Ir jābūt iestatītam vismaz vienam karogam; & par loģisko AND = Visiem karogiem jābūt iestatītiem).
  • Darbība: Darbība definē, kas ar paketēm jādara, kad piemēro noteikumu, tas ir, tā definē, vai paketes jānoraida (discard) vai tām jāpārsūta (accept).

Prioritāšu noteikšana

Noteikumi tiek piemēroti tādā pašā secībā, kā tie ir definēti klienta zonā. Tie tiek izpildīti no augšas uz leju. Jūs varat mainīt noteikumu secību pēc to ievada, izmantojot zaļās bultu ikonas pie katras noteikuma beigām.

Ja noteikums #1 neder, tad tiks pārbaudīts noteikums #2. Ja noteikums #2 arī neder, tad tiks pārbaudīts noteikums #3 un tā tālāk, līdz tiek piemērots kāds noteikums un pakete tiek vai nu noraidīta, vai pieņemta saskaņā ar definēto darbību. Ja piemēro otro noteikumu, piemēram, tad visi pēc tam nākošie noteikumi nebūs jāpārbauda. Ja neviens no noteikumiem neattiecas, tad pakete tiks noraidīta.

IPv6 filtrs

IPv6 filtru var aktivizēt, izmantojot izvēles rūtiņu “IPv6 filtrs”.

Lūdzu, ņemiet vērā, ka, aktivizējot IPv6 filtru, visi IPv6 trafiki tiek bloķēti, ja vēl nav izveidoti noteikumi IPv6 paketēm.

Ja noteikuma IP versiju nenorādat, tad noteikums attiecas gan uz IPv4, gan uz IPv6.

IPv6 ierobežojumi

  • Ir neiespējami filtrēt ICMPv6 protokolu. ICMPv6 datu plūsma uz un no servera vienmēr ir atļauta. Noklusējuma ICMPv6 atļaušana ir nepieciešama, jo ICMPv6 ir svarīgs palīgprotokols un ir obligāts IPv6 darbībai.
  • Noteikumiem ar IP versiju IPv6 vai bez IP versijas specifikācijas nav iespējams filtrēt pēc mērķa un avota IP adreses.
  • Bез spécифikācijas IP versijas, nav iespējams filtrēt noteiktā protokolā.

Piezīmes par bezstāvokļa ugunsmūra konfigurāciju

Bezstāvokļa ugunsmūris tikai lemj par paketēm, inspicējot atsevišķas paketes. Tādējādi ugunsmūris neuzskaita, vai ienākošā pakete pieder esošai savienojumam. Šī iemesla dēļ, ja nepievienojat papildu noteikumu, visas izejošās savienojumi no servera un, ja filtrējat izejošas paketes, visi ienākošie savienojumi uz serveri nedarbosies, jo attiecīgās atbildes paketes pretējā virzienā nevarēs vairs iziet caur filtru.

Ienākošais virziens

Bez papildu noteikuma, visas atbildes paketes, kas nāk uz serveri, nevar iziet caur ugunsmūru.

Varat izmantot šādu noteikumu, lai vispārīgi atļautu visas atbildes uz TCP savienojumiem:

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: 32768-65535 (Īslaicīgā portu diapazona)
 Protokols: tcp
 TCP karogi: ack
 Darbība: apstiprināt

Ievadot IP adreses un TCP portus, šo noteikumu, protams, var padarīt vēl stingrāku.

Piemērs

Ugunsmūrī definēti šādi noteikumi:

Ienākošais: Atļautas tikai HTTP paketes

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: 80
 Protokols: tcp
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt

Izejošais: Bez ierobežojumiem

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: Nav ievadīts
 Protokols: *
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt

Serveris <1.2.3.4> izveido savienojumu ar ārējo tīmekļa serveri un nosūta šādu TCP paketi:

 Avota IP: 1.2.3.4
 Mērķa IP: 4.3.2.1
 Avota ports: 44563 (nejaušs ports no īslaicīgā portu diapazona)
 Mērķa ports: 80
 Protokols: tcp
 TCP karogi: syn

Šajā piemērā iziejošā pakete ugunsmūrī vispār netiek bloķēta, jo filtrēti tikai ienākošie savienojumi.

Tīmekļa serveris <4.3.2.1> atbild ar šādu paketi:

 Avota IP: 4.3.2.1
 Mērķa IP: 1.2.3.4
 Avota ports: 80
 Mērķa ports: 44563
 Protokols: tcp
 TCP karogi: syn & ack

Šī pakete bez papildu noteikuma tiek bloķēta. Tātad savienojumu nevar izveidot.

Izejošais virziens

Līdzīgi kā Ienākošā virzienā, pretējā virziena atbildes paketes netiek automātiski ļautas.

Ja tiek atļautas tikai noteiktas izejošās paketes, tad bez papildu noteikumiem atbildes paketes no servera uz savienojuma pieprasījumiem uz servera pakalpojumiem arī nevarēs iziet caur ugunsmūru.

Varat pievienot vispārīgu noteikumu izejošajam virzienam, lai ļautu visas atbildes paketes:

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avots-Port: Nav ievadīts
 Mērķa ports: 32768-65535 (Īslaicīgā Porta diapazons)
 Protokols: tcp
 TCP karogi: ack
 Darbība: apstiprināt

Lūdzu, ņemiet vērā, ka šeit ir jāievēro visu klientu īslaicīgā porta diapazonu, tas var atšķirties no servera porta diapazona.

Kā vēl vienu būtisku noteikumu, ir ieteicams arī ļaujiet paketes DNS servisam.

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: 53
 Protokols: udp
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt
Piemērs

Ugunsmūrī definēti šādi noteikumi:

Ienākošais: Bez ierobežojumiem

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: Nav ievadīts
 Protokols: *
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt

Izejošais:

Atļauta tikai HTTP un DNS satiksme.

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: 80
 Protokols: tcp
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt
 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avota ports: Nav ievadīts
 Mērķa ports: 53
 Protokols: udp
 TCP karogi: Nav ievadīts
 Darbība: apstiprināt

Klients 4.3.2.1 izveido savienojumu ar jūsu HTTP serveri 1.2.3.4.

 Avota IP: 4.3.2.1
 Mērķa IP: 1.2.3.4
 Avota ports: 44563 (nejaušs ports no īslaicīgā portu diapazona)
 Mērķa ports: 80
 Protokols: tcp
 TCP karogi: syn

Šī pakete var iziet caur ugunsmūru, jo atļauta visa ienākošā satiksme.

Serveris vēlas atbildēt uz savienojuma pieprasījumu ar SYN & ACK paketi:

 Avota IP: 1.2.3.4
 Mērķa IP: 4.3.2.1
 Avota ports: 80
 Mērķa ports: 44563
 Protokols: tcp
 TCP karogi: syn & ack

Šī pakete nevar iziet caur ugunsmūru izejošā virzienā, jo izejošā TCP satiksme ir atļauta tikai uz portu 80.

Pareizību nodrošina vai nu vispārīgs noteikums, kā aprakstīts iepriekš, vai ārkārtas noteikums, lai ļautu tikai atbildes no tīmekļa servera:

 Avota IP: Nav ievadīts
 Mērķa IP: Nav ievadīts
 Avots-Port: 80
 Mērķa ports: 32768-65535 (Īslaicīgā Porta diapazons)
 Protokols: tcp
 TCP karogi: ack
 Darbība: apstiprināt

Ugunsmūra veidnes

Ja noklikšķināt uz pogas Ugunsmūra veidnes servera pārskatā (Galvenās funkcijas -> Serveri), jūs varat izveidot savus noteikumu kopumus. Tad jūs varat ielīmēt šos noteikumus no nolaižamā izvēlnes serveru ugunsmūra konfigurācijai un konfigurēt tos.

Turklāt pēc noklusējuma ir vairākas iepriekš definētas parauga veidnes parastiem servera pakalpojumiem.

Was this article helpful?
Skatījumi: 273

BeeHosting 10. dzimšanas diena!
līdz 70% atlaide visiem pakalpojumiem
+ bezmaksas vietnes pārsūtīšana.

Facebook Instagram linkedin

Beehosting.pro website uses cookies

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you’ve provided to them or that they’ve collected from your use of their services.

Menu