Налаштування Firewall

Панель керування Robot має дуже зрозумілий Firewall для виділених серверів. У цій статті ми розглянемо його можливості.

Після переходу на вкладку Firewall, ми бачимо такий інтерфейс:

Протоколи

  • * — всі протоколи.

  • TCP — Один з основних протоколів передачі даних. Його переваги включають функції, такі як отримання даних при попередньо встановленому з'єднанні, відсікання дублікатів пакетів, а також повторна їх передача у разі помилки. На відміну від UDP, він є більш надійним гарантуючи передачу пакетів.

  • UDP — Високошвидкісний протокол, призначений для передачі великих наборів даних з високою швидкістю. Це його велика перевага над TCP. Однак, UDP не передбачає перевірку на наявність помилок і виправлення пакетів, оскільки вони налаштовуються на рівні програми.

  • GRE — Протокол для тунелювання пакетів.

  • ICMP — Використовується різними пристроями для передачі інформації про дії та помилки в мережі.

  • IPIP — Інкапсулює один IP пакет в інший IP пакет, додаючи додаткові заголовки для IP джерела та призначення.

  • AH — Необхідний для забезпечення безпеки переданих пакетів. Його функція також полягає в усуненні дублікатів пакетів.

  • ESP — Інструмент для забезпечення безпеки шляхом шифрування пакетів. Він також включає можливості протоколу AH.

Наступні прапори TCP доступні для встановлення: syn, fin, rst, psh, urg. Їх можна вказувати окремо або як логічну комбінацію.

  • | — Логічне «АБО», коли має бути виконаний хоча б один з вказаних прапорів.

  • & — Логічне «І», коли повинні бути виконані всі вказані прапори.

Приклад такої комбінації може бути:

syn|fin
rst&psh

Дії

  • Accept — дозволити.

  • Discard — відхилити.

Правила виконуються послідовно, зверху вниз. Якщо правило #1 не застосовується, перевіряється правило #2, і так далі, поки одне з правил не буде застосоване, після чого пакет або відхиляється, або приймається відповідно до певної дії. Якщо, наприклад, застосовується друге правило, всі наступні правила не перевіряються. Якщо жодне з правил не застосовується, пакет відхиляється.

Спробуємо заборонити будь-які SSH-з'єднання до нашого сервера (на порт 22).

Створюємо правило, яке перевищує наведене нижче (приймаючи всі пакети по всіх протоколах).

  1. Встановлюємо параметри:

    • Протокол: TCP

    • Порт: 22

    • Дія: Discard

Чекаємо на завершення застосування нового списку правил.

Після завершення спробуємо підключитися до нашого сервера і отримаємо помилку, оскільки наше з'єднання було відхилено через створене правило.

Щоб скасувати зміни, просто видаліть нове правило і збережіть список.

Ви можете експериментувати з правилами різними способами та навіть створити невелику систему власного захисту від DDoS, яка не буде дуже сильною, але все одно буде частково ефективною.

Last updated