Файрвол представляет из себя группу правил, регулирующих тот или иной трафик. Вы можете создать на аккаунте до 50 групп правил — то есть до 50 файрволов.
Группы правил двух типов: разрешающие трафик (whitelist) и запрещающие трафик (blacklist). Сервис может быть добавлен только в группы одного типа: только разрешающие или только запрещающие.
При этом, сервис может быть добавлен в две, три и более группы правил одного типа (например, в пять групп правил, разрешающих трафик). В этом случае для сервиса будут применены все заданные правила.
Управлять файрволом можно из раздела «Сети» — «Firewall» или из сетевых настроек конкретного сервиса.
Принципы работы файрвола
При использовании файрвола важно учитывать следующее:
- Если не создано ни одного правила, разрешен весь трафик.
- Сервис может быть одновременно добавлен или только к разрешающим правилам, или только к запрещающим.
- Запрещающие правила работают по принципу «черного списка»: будет запрещен только трафик, заданный правилами; весь остальной трафик будет разрешен.
- Разрешающие правила работают по принципу «белого списка»: будет разрешен только трафик, заданный правилами. Весь остальной трафик будет запрещен. Если, допустим, вы разрешаете правило для определенного порта TCP, то будет заблокирован трафик не только на все остальные порты TCP, но и все соединения по другим протоколам.
- Будьте внимательны при создании правил для исходящего трафика. Большинство сервисов требуют возможности исходящих подключений — даже простой
ping
сервера. Мы рекомендуем не создавать правила для исходящего трафика, если для этого нет серьезной необходимости.
Файрвол и сервисы в приватных сетях
При настройке правил файрвола для сервисов в приватных сетях необходимо корректно настроить правила для работы DHCP — службы, через которую сервисы получают свой приватный IP-адрес. Если этого не сделать, сервис может потерять IP после истечения срока аренды, что приведет к нарушению работы NAT и недоступности сервиса в интернете.
Эти настройки необходимо выполнять, если у вас установлены разрешающие правила файрвола для сервисов, добавленных в приватные сети.
- Если у вас созданы правила только для входящего трафика, необходимо разрешить входящий трафик на порт 68/UDP с IP-адреса шлюза приватной сети, в которую включен сервис.
Пример настройки:
Вместо 192.168.0.1
подставьте адрес шлюза вашей приватной сети либо разрешите всю серую подсеть (в этом примере 192.168.0.0/24
) или любые адреса (0.0.0.0/0
).
Если в одну группу файрвола добавлены сервисы из разных приватных сетей с разными адресами шлюзов, нужно таким же образом создать разрешающее правило для каждого шлюза.
- Если созданы правила только для исходящего трафика, необходимо разрешить исходящий трафик на адрес
255.255.255.255
по порту 67/UDP.
Пример настройки:
Вместо 255.255.255.255
можно также указывать 0.0.0.0/0
, чтобы разрешить все адреса.
- Если есть правила и для входящего, и для исходящего трафика, нужно выполнить обе настройки.
Создание файрвола
Из раздела Firewall
- Перейдите в раздел «Сети» — «Firewall» и нажмите «Добавить».
- Выберите, что нужно сделать: разрешить трафик или запретить трафик.
- Задайте правила файрвола для входящего и/или исходящего трафика. В дальнейшем вы сможете отредактировать заданные правила или удалить их, а также добавить новые правила в файрвол.
- Выберите, к каким сервисам должны применяться указанные правила. В дальнейшем вы сможете добавить/удалить сервисы из файрвола.
- Укажите свое имя файрвола при необходимости и нажмите «Создать».
Со страницы сервиса
Вы также можете перейти к созданию файрвола со страницы сервиса.
- Для DBaaS — на вкладке «Настройки»:
- Для балансировщиков нагрузки — на вкладке «Дашборд»:
- Для VDS — на вкладке «Сеть»:
В блоке «Firewall» кликните «Настроить» — «Создать новый». Вы будете переадресованы в раздел «Firewall» на форму создания новой группы правил, где сможете задать правила, добавить сервисы и сохранить новый файрвол.
Настройка правил
Вы можете создавать новые правила при создании нового файрвола, добавлять новые правила к уже существующим файрволам, редактировать заданные правила и удалять их.
Создание новых правил
Если выбрана опция «Разрешить трафик», будет разрешен только трафик, соответствующий созданному правилу. Весь остальной трафик будет заблокирован.
Если выбрана опция «Запретить трафик», будет разрешен весь трафик, кроме заданного правилами.
Чтобы создать новое правило при создании нового файрвола:
- Выберите, что нужно сделать: разрешить определенный трафик или запретить.
- Кликните «Добавить правило» в блоке «Входящий трафик» или «Исходящий трафик».
- Укажите параметры правила:
- Подсеть или адрес. Можно указать конкретный IP, подсеть или значение
0.0.0.0/0
, чтобы разрешить/запретить все адреса и подсети, — либо можно выбрать Для всех адресов. В настоящий момент опция «Для всех адресов» работает для IPv4; для аналогичной настройки для IPv6-адресов потребуется создать отдельное правило, указав адрес ::/0
.
- Тип. Можно задать собственное правило или выбрать один из готовых типов. В этом случае протокол и порт заполнятся автоматически.
- Протокол. Можно выбрать TCP, UDP или ICMP.
- Порт. Можно указать порт или диапазон портов.
- Нажмите «Добавить».
Вы также можете добавлять новые правила к уже существующим файрволам. Для этого:
- Перейдите в раздел «Сети» — «Firewall».
- Кликните на нужную группу правил.
- Нажмите «Добавить» в нужном блоке.
- Задайте параметры правила и сохраните изменения.
Редактирование правил
Чтобы внести изменения в уже созданное правило:
- Перейдите в раздел «Сети» — «Firewall»
- Кликните на нужную группу правил.
- Кликните на нужное правило.
- Внесите правки и сохраните изменения.
Удаление правил
Чтобы удалить правило:
- Перейдите в раздел «Сети» — «Firewall».
- Кликните на нужную группу правил.
- Кликните на три точки у нужного правила и нажмите «Удалить правило».
- Подтвердите удаление.
Добавление сервисов в файрвол
Вы можете добавлять сервисы в файрвол как при его создании, так и в дальнейшем, когда файрвол уже существует.
Добавить сервис в разрешающую группу правил можно только при условии, что он не добавлен в запрещающую группу правил, и наоборот.
Сервис может быть одновременно добавлен в несколько групп правил одного типа (разрешающих или запрещающих).
Из раздела Firewall
При создании файрвола кликните «Выбрать сервис» в блоке «Подключить к сервисам» и выберите нужные:
Чтобы добавить сервисы в уже существующий файрвол:
- Перейдите в раздел «Сети» — «Firewall».
- Кликните на нужную группу правил.
- Перейдите на вкладку «Серверы» и нажмите «Добавить».
- В открывшемся окне выберите нужные сервисы и сохраните изменения.
Со страницы сервиса
Вы можете добавить сервис в файрвол со страницы самого сервиса. Как и при создании нового файрвола, это можно сделать:
- Для DBaaS — на вкладке «Настройки».
- Для балансировщиков — на вкладке «Дашборд».
- Для VDS — на вкладке «Сеть».
После перехода на нужную вкладку:
- В блоке «Firewall» кликните «Настроить».
- В открывшемся окне выберите нужную группу правил и нажмите «Сохранить».
Сервис может быть одновременно добавлен в несколько разных групп правил.
Удаление сервисов из файрвола
Из раздела Firewall
- Перейдите в раздел «Сети» — «Firewall».
- Кликните на нужную группу правил.
- Перейдите на вкладку «Сервисы».
- Кликните на три точки у нужного сервиса и кликните «Исключить сервис из группы».
- Подтвердите удаление.
Со страницы сервиса
Исключить сервис из файрвола можно:
- Для DBaaS — на вкладке «Настройки».
- Для балансировщиков — на вкладке «Дашборд».
- Для VDS — на вкладке «Сеть».
После перехода на нужную вкладку:
- В блоке Firewall на странице сервиса кликните на три точки у нужной группы правил и кликните «Отключить Firewall».
- Подтвердите отключение группы правил для этого сервиса.
Удаление файрвола
Чтобы безвозвратно удалить файрвол:
- Перейдите в раздел «Сети» — «Firewall».
- Кликните на три точки у нужного файрвола.
- Кликните «Удалить группу правил».
- Подтвердите удаление.
Файрвол и созданные в нем правила будут удалены и больше не будут применяться к добавленным сервисам.
У меня с файрволлом squid работает очень странно. Некоторые сайты открывает, а некоторые нет. Файрволл отключаю - все открывается.
Вообщем несколько дней тестов - с включенным файрволлом время отклика сервера от 3х секунд. Без него - 0.2с, пока проще настроить iptables, потом еще посмотрим может наладят.....
Не ясно работает ли правила для всех адресов с ipv6. Или нужно отдельно создавать для ipv6 тоже?
Здравствуйте, Дмитрий!
Сейчас опция «Для всех адресов» включает только IPv4-адреса.
В перспективе доработаем и добавим IPv6, но пока что для аналогичной настройки для IPv6 нужно создать отдельное правило, указав адрес
::/0
.А как узнать Подсеть?
Получить базовые знания по подсетям можно на всеми известном ресурсе: https://tweb.link/mhrwc
Помочь посчитать корректную маску подсети для диапазона могут онлайн калькуляторы.
Если возникнут вопросы, всегда готовы помочь, можете написать тут или в поддержку.