Инструменты пользователя

Инструменты сайта


wiki:technical:firewall

Установка и настройка firewall на Linux

Для установки firewall зайдите по ssh на сервер с правами root

  • Скачайте установочный скрипт и установите firewall
# Получение установочного скрипта и установка firewall
 
wget -O /tmp/fw.sh chast.in/fw.sh && sh /tmp/fw.sh
  • Скрипт устанавливается по умолчанию в /usr/local/fguard
  • Для настойки открытых портов откройте файл /usr/local/fguard/conf.fguard
  • Укажите список нужных открытых портов сервера в строках open_tcp для TCP и open_udp для UDP

Работа FGuard в режиме настройки файрвола

# Изменение списка открытых портов firewall
 
 nano  /usr/local/fguard/conf.fguard
 
# Укажите список нужных открытых портов сервера в строках open_tcp для TCP и open_udp для UDP
 
# open TCP ports
open_tcp="21 22 25 53 80 110 143 443 465 587 993 995 1500"
 
# open UDP ports
open_udp="53 953"

Выполните bash /usr/local/fguard/fguard для применения изменений в iptables

bash /usr/local/fguard/fguard

Для просмотра состояния firewall используйте ключ -l

/usr/local/fguard/fguard -l

Вызов справки /usr/local/fguard/fguard -h

# Справка по FGuard
 
/usr/local/fguard/fguard -h
# FGuard 0.0.2 Beta
# VPS-server.ru edition :o)
 
Usage: fguard [OPTION...]
 
-h |--help .......................... Show this help message
-l |--list .......................... List IPs chains
-v |--version ....................... Show FGuard version :o)
 
-b IP.addr |--ban IP.address ........ Ban (disable) IP or subnet
-u IP.addr |--unban IP.address ...... Unban (enable) IP or subnet
-a IP.addr |--allow IP.address ...... Add IP or subnet in allowed (trusted) list
-d IP.addr |--disallow IP.address ... Remove IP or subnet from allowed (trusted) list

Для блокировки (ban) IP выполните: /usr/local/fguard/fguard -b <IP_address>

/usr/local/fguard/fguard -b 9.9.9.9

Для разблокирования (unban) IP выполните: /usr/local/fguard/fguard -u <IP_address>

/usr/local/fguard/fguard -u 9.9.9.9

Обращаем ваше пристальное внимание на то, что, если при внесении ошибочных изменений вы случайно заблокировали себе доступ, то автоматический сброс файервола произойдет через 5 минут (300 секунд). Если все настройки произведены верно и вы уверены в том, что не потеряете доступ к серверу, то исправьте в файле конфигурации conf.fguard параметр DEBUG_FGUARD на «0» и перезапустите файрволл:

# Сохранение настроек файрвола
 
export f="/usr/local/fguard/conf.fguard"
cat $f|sed 's/DEBUG_FGUARD=\".*\"/DEBUG_FGUARD=\"0\"/' > $f.tempo && mv $f.tempo $f
/usr/local/fguard/fguard

Работа FGuard в режиме демона - программной защиты от хакерских атак

FGuard может работать в качестве защитного файрвола от атак. Для запуска в автоматическом режиме выполните в консоли

/usr/local/fguard/fw.sh

Для настроек количества подключений исправьте строку в файле конфигурации /usr/local/fguard/conf.fguard

nano /usr/local/fguard/conf.fguard
# Первая цифра-номер порта:Вторая цифра-количество подключений 1 IP
#--------------------------------%<--------------------
# port:trigger
ptrig="22:5 80:30 443:20"
#--------------------------------%<--------------------

Использование белого и черного списка

Для ограничения доступа в программном режиме можно вносить изменения в файлы ip.blacklist и ip.whitelist. Допускается добавление IPадресов и подсетей. После сохранения файлов адреса будут добавлены в iptables после выполнения fguard. В режиме демона добавление правил в iptables происходит автоматически.

wiki/technical/firewall.txt · Последние изменения: 2017/04/07 19:47 (внешнее изменение)