Hetzner - DokuWiki

Robot Firewall/ru


Inhaltsverzeichnis

Межсетевой экран

Для выделенных серверов Hetzner Online бесплатно предоставляет межсетевой экран без контроля состояния (stateless firewall). В панели Robot доступна возможность задавать собственные правила фильтрации для входящего трафика.

На предлагаемом нами статическом межсетевом экране пакеты с данными не распаковываются — проверяется только заголовок пакета, и, в зависимости от заданных правил, межсетевой экран принимает решение: разрешить или запретить пакеты. Таким образом, межсетевой экран предотвращает неразрешенный доступ к вашему серверу.

Надо заметить, что межсетевые экраны не распознают попытки атак. Они лишь применяют заранее заданные правила к сетевому трафику. Межсетевой экран это хорошее дополнение к защите от DDoS для защиты сервера от Интернет-угроз.

Межсетевой экран для выделенных серверов настраивается на порту коммутатора и фильтрует входящий IPv4 трафик.

Как активировать межсетевой экран?

Активировать межсетевой экран можно в клиентской панели «Main functions; Servers». Здесь выберите конкретный сервер и перейдите на вкладку «Firewall». Если активировать межсетевой экран без правил, то весь входящий трафик будет заблокирован.

Межсетевой экран будет немедленно активирован и настроен на коммутаторе. Применение настроек может занять 20-30 секунд.

Активация межсетевого экрана

Правила фильтрации

Можно задать до 10 правил фильтрации.

Параметры

Name
Можно задать имя по своему желанию. Запрещены лишь специальные символы.
Source IP и Destination IP
В качестве адреса можно задать как одиночный IP, так и подсеть в нотации CIDR (например, 192.168.0.1 или 192.168.0.0/30). Так как межсетевой экран настраивается на порту коммутатора, правила без заданного Destination IP будут применяться ко всем адресам сервера.
Source port и Destination port
Указать можно как одиночный порт, так и диапазон портов (например, 80 или 32768-65535).
Protocol
Выбор протокола (например, TCP или UDP).
TCP flags
Можно задать флаги TCP-пакета (syn, fin, rst, psh, urg). Несколько флагов могут быть объединены логическими операторами («|» для логического «или» — должен быть выставлен как минимум один флаг; «&» для логического «и» — все флаги должны быть выставлены).
Action
Определяет, что надо сделать с подходящим под правило пакетом: отбросить или пропустить.

Порядок применения правил

Правила проверяются в том же порядке, в котором они определены в Robot — сверху вниз. Порядок правил можно менять при помощи зелёных стрелок в конце каждого правила.

Если правило №1 не применилось, то проверяется правило №2. Если и правило №2 не применилось, то проверяется правило №3. И так далее, до тех пор, пока не применится одно из правил. Тогда к пакету применится действие этого правила и пакет будет либо отброшен, либо принят. Например, если было применено второе правило, то все последующие правила не проверяются. Если ни одно из правил не было применено, то пакет будет отброшен.

Правила межсетевого экрана

Разрешение для сервисов Hetzner

Флажок «Hetzner Services» позволяет разрешить доступ всем важным инфраструктурным сервисам Hetzner Online. При актации данной опции сервисы Hetzner_Rescue-System, DNS, Место для резернных копий/Storage Box и System Monitor (SysMon) смогут обращаться к серверу.

Исходящие TCP-соединения

Статический межсетевой экран «принимает решение» базируясь на проверке отдельных пакетов. Другими словами, он не «отслеживает» относится ли входящий пакет к исходящему с сервера соединению. Из-за этой особенности исходящие с сервера соединения не будут работать без специального разрешающего правила. Работающие на сервере службы (например, веб-сервер на порту 80) не будут затронуты.

Это правило, в общем случае, разрешит получение ответов на TCP-соединения:

 Source IP: пусто
 Destination IP: пусто
 Source port: пусто
 Destination Port: 32768-65535 (диапазон динамических портов)
 Protocol: tcp
 TCP flags: ack
 Action: accept

Указав IP-адрес и порты можно сделать правило более строгим.

Пример

Сервер 1.2.3.4 устанавливает соединение с внешним веб-сервером отправляя TCP-пакет:

 Source IP: 1.2.3.4
 Destination IP: 4.3.2.1
 Source port: 44563 (случайный из диапазона динамических портов)
 Destination port: 80
 Protocol: tcp
 TCP flags: syn

Этот пакет не будет заблокирован, так как фильтрация производится только для входящих пакетов.

Веб-сервер 4.3.2.1 отвечает таким пакетом:

 Source IP: 4.3.2.1
 Destination IP: 1.2.3.4
 Source port: 80
 Destination port: 44563
 Protocol: tcp
 TCP flags: syn & ack

Без дополнительного разрешающего правила пакет будет заблокирован и, в результате, соединение не будет установлено.

Шаблоны

Создать шаблон с набором правил можно при помощи кнопки «Firewall templates» (Main functions; Servers). После этого шаблон можно будет применить, выбрав его в выпадающем меню на странице настройки межсетевого экрана сервера.

Также можно пользоваться подготовленными нами шаблонами для часто используемых служб.

API

Межсетевой экран может быть настроен через Robot web service (API).



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.