Главная

Дедик.ру | выделенный сервер.

Dedicated - выделенный сервер или просто дедик. Платные и бесплатные панели для дедика. Безопасность выделенного сервера.

Дедик :: Общие сведения | Будь защищен | Сделай сам! | Свой хостинг | Support: Черный список
Панели управления :: WHM/cPanel | Plesk | DirectAdmin | VHCS
Датацентры :: Черный список
О проекте Дедик.ру
Обсуждение статей
 

Реклама

Опрос

Пользуетесь ли вы услугами удаленных сисадминов?
Да, постоянно
18%
Да, если возникают какие-то проблемы
6%
Нет, только запрашиваю консультации
29%
Нет, вообще не пользуюсь
41%
Свой вариант, напишу в комментариях
6%
Всего голосов: 17
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
  • Старые опросы

Статистика


Rambler's Top100 Рейтинг@Mail.ru

Спонсоры сайта

Поиск

Вход для пользователей

CAPTCHA
Этот вопрос для проверки являетесь ли вы адекватным человеком или спам-ботом.
Image CAPTCHA
Copy the characters (respecting upper/lower case) from the image.
  • Зарегистрироваться
  • Запросить новый пароль

Навигация

  • Услуги экспертов
  • Карта сайта
  • Опросы
  • Поиск
  • Форум
  • Users by points
  • Последние сообщения

Сбор новостей

Синдикация материалов
Главная

Настройка брандмауэра IPF под хостинг-панель WHM/cPanel

Итак, в продолжение статьи о настройке ядра FreeBSD для WHM/cPanel рассмотрим создание правил для IPFILTER (IPF). Синтаксис очень прост, и мы рассмотрим готовый вариант правил для сервера с сетевой картой rl0 (необходимо заменить, если у Вас другая) и хостинг-панелью cPanel.
Сохраните данные инструкции в файл и примените его командой
ipf -Fa -f путь/к/файлу,
после чего сервер будет прикрыт межсетевым экраном IPF.


# Контроль исходящих соеденений. Открыты http, https, ftp, ftp-data, pop3, imap, smtp, ssh, dns, urchin, whois, time, ntp
pass out quick on rl0 proto tcp from any to any port = 80 flags S keep frags keep state
pass out quick on rl0 proto tcp from any to any port = 443 flags S keep frags keep state
pass out quick on rl0 proto icmp from any to any icmp-type 8 keep state
pass out quick on rl0 proto tcp from any to any port = 21 flags S keep frags keep state
pass out quick on rl0 proto tcp from any to any port = 20 flags S keep state keep frags
pass out quick on rl0 proto tcp from any to any port = 110 flags S keep frags keep state
pass out quick on rl0 proto tcp from any to any port = 143 flags S keep frags keep state
pass out quick on rl0 proto tcp from any to any port = 25 flags S keep frags keep state
pass out quick on rl0 proto tcp from any to any port = 22 flags S keep frags keep state
pass out quick on rl0 proto udp from any to any port = 53 keep state keep frags
pass out quick on rl0 proto tcp from any to any port = 53 keep state keep frags
pass out quick on rl0 proto tcp from any to any port = 5999 flags S keep state
pass out quick on rl0 proto tcp from any to any port = 37 keep state
pass out quick on rl0 proto tcp from any to any port = 123 keep state
pass out quick on rl0 proto tcp from any to any port = 43 flags S keep state
# Открываем доступ к специфическим портам хостинг панели WHM/cPanel
pass out quick on rl0 proto tcp from any to any port = 2089 keep state keep frags

# Запрещаем любые исходящие igmp и icmp

block out quick on rl0 proto igmp all
block out quick on rl0 proto icmp from any to any

# Запрещаем исходящие пакеты в резервированные сети
block out quick on rl0 from any to 0.0.0.0/7
block out quick on rl0 from any to 2.0.0.0/8
block out quick on rl0 from any to 5.0.0.0/8
block out quick on rl0 from any to 10.0.0.0/8
block out quick on rl0 from any to 23.0.0.0/8
block out quick on rl0 from any to 27.0.0.0/8
block out quick on rl0 from any to 31.0.0.0/8
block out quick on rl0 from any to 69.0.0.0/8
block out quick on rl0 from any to 70.0.0.0/7
block out quick on rl0 from any to 72.0.0.0/5
block out quick on rl0 from any to 82.0.0.0/7
block out quick on rl0 from any to 84.0.0.0/6
block out quick on rl0 from any to 88.0.0.0/5
block out quick on rl0 from any to 96.0.0.0/3
block out quick on rl0 from any to 127.0.0.0/8
block out quick on rl0 from any to 128.0.0.0/16
block out quick on rl0 from any to 128.66.0.0/16
block out quick on rl0 from any to 169.254.0.0/16
block out quick on rl0 from any to 172.16.0.0/12
block out quick on rl0 from any to 191.255.0.0/16
block out quick on rl0 from any to 192.0.0.0/19
block out quick on rl0 from any to 192.0.48.0/20
block out quick on rl0 from any to 192.0.64.0/18
block out quick on rl0 from any to 192.0.128.0/17
block out quick on rl0 from any to 192.168.0.0/16
block out quick on rl0 from any to 197.0.0.0/8
block out quick on rl0 from any to 201.0.0.0/8
block out quick on rl0 from any to 204.152.64.0/23
block out quick on rl0 from any to 206.112.0.0/16
block out quick on rl0 from any to 224.0.0.0/3

# Запрещаем все остальные исходящие соединения
block out on rl0 all

# Контроль Входящих соединений. Открыты http, https, ftp, ftp-data, pop3, imap, smtp, ssh, dns
pass in quick on rl0 proto tcp from any to any port = 22 flags S keep frags keep state
pass in quick on rl0 proto tcp from any to any port = 25 keep state
pass in quick on rl0 proto tcp from any to any port = 110 flags S keep frags keep state
pass in quick on rl0 proto tcp from any to any port = 143 keep state
pass in quick on rl0 proto tcp from any to any port = 443 flags S keep frags keep state
pass in quick on rl0 proto tcp from any to any port = 21 flags S keep state
pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state
pass in quick on rl0 proto udp from any to any port = 53 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 80 flags S keep frags keep state
pass in quick on rl0 proto tcp from any to any port =
# Открываем доступ к специфическим портам хостинг-панели WHM/cPanel
2084 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2086 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2095 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2082 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2096 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2087 keep state keep frags
pass in quick on rl0 proto tcp from any to any port = 2083 keep state keep frags

# Запрещаем любые входящие igmp и icmp

block in quick on rl0 proto icmp all
block in quick on rl0 proto igmp all

# Окончательные настройки и антиспуфинг
block in quick on rl0 all with ipopts
block in quick on rl0 all with frag
block in quick on rl0 all with short
block return-rst in quick on rl0 proto tcp all flags FUP
block return-rst in quick on rl0 proto tcp from any to any
block return-icmp-as-dest(port-unr) in quick on rl0 proto udp from any to any
block in log quick on rl0 all with opt lsrr
block in log quick on rl0 all with opt ssrr
block in quick on rl0 from 0.0.0.0/7 to any
block in quick on rl0 from 2.0.0.0/8 to any
block in quick on rl0 from 5.0.0.0/8 to any
block in quick on rl0 from 10.0.0.0/8 to any
block in quick on rl0 from 23.0.0.0/8 to any
block in quick on rl0 from 27.0.0.0/8 to any
block in quick on rl0 from 31.0.0.0/8 to any
block in quick on rl0 from 69.0.0.0/8 to any
block in quick on rl0 from 70.0.0.0/7 to any
block in quick on rl0 from 72.0.0.0/5 to any
block in quick on rl0 from 82.0.0.0/7 to any
block in quick on rl0 from 84.0.0.0/6 to any
block in quick on rl0 from 88.0.0.0/5 to any
block in quick on rl0 from 96.0.0.0/3 to any
block in quick on rl0 from 127.0.0.0/8 to any
block in quick on rl0 from 128.0.0.0/16 to any
block in quick on rl0 from 128.66.0.0/16 to any
block in quick on rl0 from 169.254.0.0/16 to any
block in quick on rl0 from 172.16.0.0/12 to any
block in quick on rl0 from 191.255.0.0/16 to any
block in quick on rl0 from 192.0.0.0/19 to any
block in quick on rl0 from 192.0.48.0/20 to any
block in quick on rl0 from 192.0.64.0/18 to any
block in quick on rl0 from 192.0.128.0/17 to any
block in quick on rl0 from 192.168.0.0/16 to any
block in quick on rl0 from 197.0.0.0/8 to any
block in quick on rl0 from 201.0.0.0/8 to any
block in quick on rl0 from 204.152.64.0/23 to any
block in quick on rl0 from 224.0.0.0/3 to any

# Запрещаем остальные входящие соединения
block in log quick on rl0 all

# Включаем полное разрешение loopback
pass in quick on lo0 all
pass out quick on lo0 all

  • От admin в 10 Сен 2005 - 18:19
  • Общие сведения
  • Будь защищен
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".

Дополнение

Отмечу что данная конфигурация очень жесткая с icmp пакетами.
Более облегченный вариант:
# Разрешаем исходящие igmp и icmp
pass out quick on rl0 proto igmp all
pass out quick on rl0 proto icmp all keep state


# Разрешаем входящие igmp и icmp
block in quick on rl0 proto igmp all
pass in quick on rl0 proto icmp all icmp-type 0 keep state
pass in quick on rl0 proto icmp all icmp-type 3 keep state
pass in quick on rl0 proto icmp all icmp-type 4 keep state
pass in quick on rl0 proto icmp all icmp-type 11 keep state
pass in quick on rl0 proto icmp all icmp-type 12 keep state

Расшифровка кодов ICMP сообщений:

echo reply (0), destination unreachable (3), source quench (4), redirect (5), echo request (8), router adver-tisement (9),
router solicitation(10), time-to-live exceeded (11), IP header bad (12), timestamp request (13), timestamp reply (14),
information request (15), information reply (16), address mask request (17) and address mask reply (18).

  • От admin в 10 Сен 2005 - 19:13
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

... рассмотрим го

... рассмотрим готовый вариант правил для сервера с сетевой картой rl0 (необходимо заменить если у Вас другая)
А как узнать имя сетевой карты?

  • От Гость (не проверено) в 19 Сен 2005 - 19:58
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

Командой ifconfig

Командой ifconfig

  • От admin в 20 Сен 2005 - 17:08
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

А что надо сдела

А что надо сделать, чтобы разрешить пинги до сервера? а то без пинга как без рук)

  • От Гость (не проверено) в 25 Апр 2006 - 19:16
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

Надо прочитать,

Надо прочитать, то что написано ниже:
http://dedic.ru/node/88#comment-158

  • От admin в 26 Апр 2006 - 06:00
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

69ую строчку над

69ую строчку надо заменить на:
pass in quick on fxp0 proto tcp from any to any port = 80 flags S keep frags keep state

  • От Гость (не проверено) в 19 Июл 2006 - 17:29
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии

Спасибо за заме

Спасибо за замечание

  • От admin в 20 Июл 2006 - 13:22
  • Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
Проект создан компанией eSupport.org.ru - администрирование выделенных серверов
Копирование информации без согласия с автором запрещено.

Ads

Последние комментарии

  • Ты можешь
    7 недель 5 дней назад
  • должно работать
    7 недель 5 дней назад
  • Ни чего не
    7 недель 5 дней назад
  • ssh tunnel
    7 недель 6 дней назад
  • Просить
    10 недель 3 дня назад
  • Для этого нужны
    10 недель 3 дня назад
  • Как насчет виртуального хостинга?
    12 недель 3 дня назад
  • Включить лог
    23 недели 2 дня назад
  • Пересоберите
    25 недель 18 часов назад
  • техническая реализация
    33 недели 6 дней назад

Сейчас на сайте

Сейчас на сайте 0 пользователей и 12 гостей.