Чтобы создать новое правило в ISPmanager перейдем в раздел «Система → Брандмауэр» и нажмем кнопку «Создать»
После нажатия на кнопку появится окно с настройки правила.
-
Действие - действие над пакетом, в соответствии с установленным правилом:
- Разрешить - фильтрация отключена, сервер принимает соединения с любого IP-адреса.
- Частично разрешить - сервер принимает соединения только с определённых IP-адресов.
- Запретить - сервер не принимает соединения ни с одного IP-адреса.
- Частично запретить - сервер принимает соединения только с тех IP-адресов, которые не входят в список блокировки.
-
Протокол - протокол передачи данных.
-
Адрес источника - IP-адрес отправителя.
-
Порт - порт назначения.
Зависимые правила - количество зависимых правил. Зависимыми правилами являются:
-
для «частично запрещенных» сетей - правила брандмауэра для ip-адресов из данной сети с действием «запретить».
-
для «частично разрешенных» сетей - правила брандмауэра для ip-адресов из данной сети с действием «разрешить».
Добавление правил брандмауэра
Ubuntu/Debian/CentOS:
при первом запуске ISPmanager, в iptables будут созданы следующие цепочки:
-
ispmgr_deny_ip - содержит запрещенные ip-адреса
-
ispmgr_allow_ip - содержит разрешенные ip-адреса
-
ispmgr_allow_sub - содержит разрешенные подсети
-
ispmgr_deny_sub - содержит запрещенные подсети
Данные цепочки добавляются в конец таблицы INPUT в порядке их описания.
В ОС CentOS в таблицу INPUT до создания указанных цепочек записываются разрешающие правила, необходимые для корректной работы панели управления и некоторых сервисов (FTP, WEB, EMAIL).
Для каждой цепочки выделен пул номеров размером в 10000 записей. Т.е. количество правил заданных в каждой из цепочек не должно превышать 10000, иначе это может привести к ошибке.
-
параметры, добавленные в эти цепочки самостоятельно, могут быть некорректно распознаны и отредактированы из ISPmanager.
-
следует помнить, что правила описанные в брандмауэре ISPmanager, будут применяться для фильтрации сетевого трафика только после пользовательских
правил, описанных до установки ISPmanager. -
необходимо помнить, что при ручной настройке брандмауэра (в обход ISPmanager), использование модуля «Брандмауэр» может привести к неопределенному поведению firewall целевой ОС.
При добавлении/удалении каждого правила с помощью брандмауэра в панели управления производится проверка, не приведет ли это действие к недоступности сервера с IP-адреса, с которого осуществлено подключение к панели управления. Также проверяется, что IP-адреса сервера остаются доступными для запросов внутри самого сервера.
Правила, относящиеся к подсетям или конкретным IP-адресам сети другого правила логически группируются панелью управления и отображаются, как вложенные правила.
Дополнительные параметры
Все параметры добавляются в файл mgr5/etc/ispmgr.conf.
Option FirewallCheckAccess - данный параметр позволяет добавлять запрещающие правила брандмаэра в независимости от ограничений самого модуля.
Пути для файла правил
Ubuntu/Debian
/etc/ispiptable.conf /etc/ispip6table.conf
Загрузка скриптом **/etc/network/if-up.d/ispmgrfw
CentOS
Стандартный /etc/sysconfig/iptables
Блокировка по geo
В этом разделе вы также можете ограничить доступ для пользователей из некоторых стран.
Для этого нажмите кнопку «Страны»
Выберите необходимую страну и нажмите кнопку Заблокировать
