Основи неотчитане на общи правила и командването на защитната стена

Като сървъри в сигурни центрове за данни в Европа. Open облак VPS / VDS сървър на бърз SSD за 1 минута!

Най-добър уеб хостинг:
- ще предпазят данните от неоторизиран достъп в защитена Европейския център за данни
- ще плати най-малко в Bitcoin.
- Той ще постави вашата дистрибуция

- защита от DDoS-атаки
- безплатно архивиране
- Uptime 99,9999%
- DPC - TIER III
- ISP - етап I

Подкрепа в руските 24/7/365 работи с юридически и физически лица. Сега трябва 24 ядро ​​и 72 Gb RAM. Моля ви!

Нашите конкурентни цени доказват, че най-евтиният хостинг, че не знаеш!

За броени минути, изберете конфигурация, заплати и CMS на VPS е готова.
Връщане на парите - за 30 дни!

Банкови карти, електронни валута през QIWI терминали, Webmoney, PayPal, Novoplat и други.

Задайте въпрос 24/7/365 поддръжка

Намерете отговорите в нашата база данни, както и да отговарят на препоръките на

забележка

Повечето от примерите в това ръководство се отнася до използването на стандартен набор от правила, неотчитане. Това означава, че защитната стена трябва да се даде възможност за отиване и блокира входящия трафик с помощта на политики по подразбиране. Може да се наложи да се даде възможност селективно входящ трафик.

Извършване на всички секции в управлението на поръчка е задължително, тъй като повечето от секциите не са свързани един с друг. Извършва само разделите, отговарящи на изискванията на сървъра.

Всеки код в ръководството, можете да копирате и поставите в командния ред, на мястото на предварително маркирани в червено стойността им данни.

За да проверите текущия набор от правила, въведете:

Sudo неотчитане статус

Sudo неотчитане статус многословно

Sudo неотчитане отрече от 12.12.12.21

Блокирането на свързаност на мрежовия интерфейс

За да блокирате връзки от специфичен IP (12.12.12.21) към мрежовия интерфейс (като eth0), използвайте:

Sudo неотчитане отрече в по eth0 от 12.12.12.21

Тази команда е почти същата като предишната команда, с изключение на условието в по eth0, главния интерфейс.

Интерфейсът на мрежата може да бъде посочена в всяко правило защитна стена. Това дава възможност да се намали настройката на специфичен интерфейс.

SSH услуга

При работа със сървър облак може да се наложи да се позволи входящите SSH връзки (порт 22). В този раздел са различни защитни стени правилата за услугата SSH.

Как да отворите SSH

За да се позволи входящо SSH връзка, въведете следната команда:

Sudo неотчитане позволи SSH

Алтернативният синтаксис (посочете сервизния порт):

Sudo неотчитане позволи 22

Sudo неотчитане позволи от 15.15.15.0/24 до всички пристанища 22

Инструментът Rsync, на порт 873, може да се използва за споделяне на файлове.

Sudo степен на неотчитане позволи от 15.15.15.0/24 всяка порт 873

уеб сървър

Уеб сървъри (например, Apache и Nginx), обикновено резба портове 80 и 443 за HTTP и HTTPS връзки, съответно. Ако политиката на входящия трафик по подразбиране е конфигуриран да отхвърли или да блокирате тези съединения, е най-вероятно, ще трябва да промените това поведение.

Как да се даде възможност входящи HTTP трафик

За да се позволи входящо HTTP-връзка (порт 80), въведете следната команда:

Sudo неотчитане позволи HTTP

Алтернативен синтаксис изисква да се уточни на пристанището:

Sudo неотчитане позволи 80

Как да се даде възможност входящо HTTPS трафик

За да се позволи входящ HTTPS-връзка (порт 443), тип:

Sudo неотчитане позволи HTTPS

Алтернативният синтаксис (въвеждане на пристанището):

Sudo неотчитане позволи 443

Как да се даде възможност на входящи HTTP и HTTPS връзки

За да се даде възможност на входящи HTTP и HTTPS връзки, създаване на правило, което отваря съответните пристанища. използвате:

Sudo неотчитане позволи прото TCP от всеки за всеки порт 80443

Забележка: определяте много пристанища, трябва да укажете протокол (TCP прото) на.

MySQL услуга

MySQL слуша за клиентски връзки на порт 3306. Ако сървърът MySQL се използва от клиента или отдалечен сървър, трябва да се даде възможност на защитната стена да приеме такъв трафик.

Как да отворите MySQL с конкретен IP или подмрежа

За да може да приеме връзки с MySQL от определен IP или подмрежа, трябва да се уточни връзката източник. Например, за да се даде възможност на подмрежата връзки 15.15.15.0/24, въведете:

Sudo неотчитане позволи от 15.15.15.0/24 до всяко пристанище 3306

Как да отворите MySQL с конкретен мрежов интерфейс

За да се даде възможност на защитната стена да приеме връзки с MySQL за мрежов интерфейс (например, eth1), въведете:

Sudo неотчитане позволи в по eth1 до всяко пристанище 3306

PostgreSQL услуга

PostgreSQL слуша за клиентски връзки на порт 5432. Ако сървърът на базата данни PostgreSQL, използван от клиента или отдалечен сървър, трябва да се даде възможност на защитната стена да приеме такава свързаност.

За да позволите на връзки към PostgreSQL да приемат от даден IP или подмрежа, трябва да се уточни връзката източник. Например, за да се даде възможност връзки за подмрежа 15.15.15.0/24, въведете:

Sudo неотчитане позволи от 15.15.15.0/24 до всяко пристанище 5432

Команда, която позволява на изходящия трафик за инсталираната PostgreSQL връзка изисква само ако политиката по подразбиране - не приеме.

Как да отворите PostgreSQL за определен мрежов интерфейс

За да се даде възможност на защитната стена да приеме връзки към PostgreSQL за мрежов интерфейс (например, eth1), въведете:

Sudo неотчитане позволи в по eth1 до всяко пристанище 5432

Командата, която позволява на изходящия трафик за инсталираната PostgreSQL връзка изисква само ако политиката по подразбиране - не приеме.

пощенски услуги

Пощенски услуги (например, Sendmail или PostFix) комбинирани слушат на различни пристанища в зависимост от използвания протокол за доставка на поща. Ако се сблъскате с мейл сървър, уточни протоколите, използвани и да позволи на съответните видове превози. Също така в този раздел показва как да създадете правило за блокиране на изходящи SMTP поща.

Блокиране на изходящи SMTP-мейл адрес

Sudo неотчитане отрече 25

Това конфигурира защитната стена, за да нулирате всички изходящия трафик на порт 25.

Забележка. За блокиране на трафика към всеки друг порт, трябва само да въведете номера му, вместо 25.

Както позволи входящ SMTP-съединение

За да позволите на сървъра да се отговори на всички входящи SMTP сесия (порт 25), тип:

Sudo неотчитане позволи 25

Забележка. SMTP за изходяща поща, обикновено използва порт 587.

Както позволи входящ IMAP-съединение

За да позволите на сървъра да приеме всички входящи IMAP-връзка (порт 143), стартирайте:

Sudo неотчитане позволи 143

Как да се даде възможност входящо съобрази с IMAPS

За да се позволи на сървъра да приеме всички входящи съобрази с IMAPS-връзка (порт 993), се използва:

Sudo неотчитане позволи 993

Както позволи входящ POP3-съединение

За да се даде възможност всички входящи POP3-връзка (порт 110), показват:

Sudo неотчитане позволи 110

Както позволи входящ POP3S-съединение

За да се даде възможност всички входящи POP3S-връзка (порт 995), показват:

Sudo неотчитане позволи 995

заключение

Това ръководство обхваща най-често срещаните команди за конфигуриране на защитната стена с неотчитане.

Неотчитане - много гъвкав инструмент, така че е препоръчително да се експериментира с него сами по себе си, за да отговори на специфичните изисквания на сървъра, ако те не са разгледани в тази статия.

Благодарим Ви за лидерство! Аз се захвана за работа, но има един нюанс.
След като се установят не му попречи да започне.
Аз генерира грешка и се закле в IPtables
Ако в конфигурационния файл / и т.н. / по подразбиране / неотчитане пут IPv6 на = няма
И изглежда, че всичко работи, но тук е проблемът: много здраво (с дължина 504 + грешка), изпратени официални писма до сайта чрез SMTP.

Аз разменили писма с високотехнологични VPS подпомагане. Те казаха, че цялото това нещо се опитва да мине през IPv6, но тъй като той се отрече защитна стена, а след това след известно време изпраща чрез IPv4.

Моля, кажете ми дали сте срещнали подобен проблем? Ако не друго, мога да изложи грешки от конзолата, когато се опитате да стартирате неотчитане когато IPV6 = Да