Admin в 10:39, 15 октября 2025

2025-10-15T10:39:53Z

Внесённые изменения

Admin в 20:02, 14 октября 2025

2025-10-14T20:02:00Z

Внесённые изменения

Admin: Новая страница: «= Настройка файрвола (iptables/ufw) = == 1. Подготовка системы == * Войдите в систему под учетной з…»

2025-10-14T19:34:14Z

Новая страница: «= Настройка файрвола (iptables/ufw) = == 1. Подготовка системы == * Войдите в систему под учетной з…»

Новая страница

= Настройка файрвола (iptables/ufw) =

== 1. Подготовка системы ==

* Войдите в систему под учетной записью с правами '''root''' или пользователя с правами '''sudo'''.
* Убедитесь, что у вас есть доступ к серверу через консоль (не только SSH).

== 2. Настройка UFW (Ubuntu/Debian) ==

=== Установка и активация UFW ===

1. Проверьте статус UFW:
<code>
sudo ufw status
</code>

2. Если UFW не установлен, установите его:
<code>
sudo apt update
sudo apt install ufw
</code>

3. Включите UFW:
<code>
sudo ufw enable
</code>

=== Базовая настройка UFW ===

1. Разрешите SSH подключения (ВАЖНО!):
<code>
sudo ufw allow ssh
</code>

2. Разрешите HTTP и HTTPS трафик:
<code>
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
</code>

3. Разрешите трафик на конкретный порт:
<code>
sudo ufw allow 8080/tcp
</code>

4. Разрешите трафик с конкретного IP:
<code>
sudo ufw allow from 192.168.1.100
</code>

=== Дополнительные правила UFW ===

1. Запретите трафик на порт:
<code>
sudo ufw deny 23/tcp
</code>

2. Разрешите трафик только на определенный порт:
<code>
sudo ufw allow 3306/tcp
</code>

3. Настройте правила для конкретного интерфейса:
<code>
sudo ufw allow in on eth0 to any port 80
</code>

=== Управление UFW ===

1. Просмотрите статус:
<code>
sudo ufw status verbose
</code>

2. Просмотрите нумерованные правила:
<code>
sudo ufw status numbered
</code>

3. Удалите правило по номеру:
<code>
sudo ufw delete 1
</code>

4. Сбросьте все правила:
<code>
sudo ufw --force reset
</code>

== 3. Настройка iptables ==

=== Основы iptables ===

1. Просмотрите текущие правила:
<code>
sudo iptables -L -n -v
</code>

2. Просмотрите правила с номерами строк:
<code>
sudo iptables -L -n -v --line-numbers
</code>

=== Базовая настройка iptables ===

1. Очистите все правила:
<code>
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
</code>

2. Установите политики по умолчанию:
<code>
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
</code>

3. Разрешите loopback трафик:
<code>
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
</code>

=== Настройка правил для веб-сервера ===

1. Разрешите установленные соединения:
<code>
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
</code>

2. Разрешите SSH (ВАЖНО!):
<code>
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
</code>

3. Разрешите HTTP и HTTPS:
<code>
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
</code>

4. Разрешите ping:
<code>
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
</code>

=== Дополнительные правила iptables ===

1. Ограничьте количество соединений:
<code>
sudo iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
</code>

2. Заблокируйте подозрительный трафик:
<code>
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
</code>

3. Заблокируйте конкретный IP:
<code>
sudo iptables -A INPUT -s 192.168.1.100 -j DROP
</code>

== 4. Сохранение правил iptables ==

=== Для Ubuntu/Debian ===

1. Установите iptables-persistent:
<code>
sudo apt install iptables-persistent
</code>

2. Сохраните текущие правила:
<code>
sudo netfilter-persistent save
</code>

3. Включите автозапуск:
<code>
sudo systemctl enable netfilter-persistent
</code>

=== Для CentOS/RHEL ===

1. Сохраните правила:
<code>
sudo iptables-save > /etc/sysconfig/iptables
</code>

2. Включите автозапуск:
<code>
sudo systemctl enable iptables
</code>

=== Ручное сохранение ===

1. Сохраните правила в файл:
<code>
sudo iptables-save > /etc/iptables/rules.v4
</code>

2. Создайте скрипт для загрузки:
<code>
sudo nano /etc/rc.local
</code>

3. Добавьте строку:
<code>
iptables-restore < /etc/iptables/rules.v4
</code>

== 5. Настройка fail2ban ==

=== Установка fail2ban ===

1. Установите fail2ban:
<code>
sudo apt install fail2ban
</code>

2. Создайте локальную конфигурацию:
<code>
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
</code>

=== Настройка fail2ban ===

1. Отредактируйте конфигурацию:
<code>
sudo nano /etc/fail2ban/jail.local
</code>

2. Настройте основные параметры:
<code>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3
ignoreip = 127.0.0.1/8 ::1

[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 3
</code>

3. Запустите fail2ban:
<code>
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
</code>

=== Мониторинг fail2ban ===

1. Проверьте статус:
<code>
sudo fail2ban-client status
</code>

2. Проверьте конкретную тюрьму:
<code>
sudo fail2ban-client status sshd
</code>

3. Разблокируйте IP:
<code>
sudo fail2ban-client set sshd unbanip 192.168.1.100
</code>

== 6. Настройка для конкретных сервисов ==

=== Настройка для веб-сервера ===

1. Разрешите трафик на порты веб-сервера:
<code>
# Apache
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Nginx
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
</code>

2. Настройте iptables для веб-сервера:
<code>
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
</code>

=== Настройка для базы данных ===

1. Разрешите подключения к MySQL только с локальных адресов:
<code>
sudo ufw allow from 192.168.1.0/24 to any port 3306
</code>

2. Настройте iptables:
<code>
sudo iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3306 -j ACCEPT
</code>

=== Настройка для FTP ===

1. Разрешите FTP трафик:
<code>
sudo ufw allow 21/tcp
sudo ufw allow 20/tcp
sudo ufw allow 1024:65535/tcp
</code>

2. Настройте iptables для пассивного FTP:
<code>
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
</code>

== 7. Мониторинг и логирование ==

=== Просмотр логов ===

1. Просмотрите логи UFW:
<code>
sudo tail -f /var/log/ufw.log
</code>

2. Просмотрите логи iptables:
<code>
sudo dmesg | grep iptables
</code>

3. Просмотрите логи fail2ban:
<code>
sudo tail -f /var/log/fail2ban.log
</code>

=== Мониторинг подключений ===

1. Просмотрите активные соединения:
<code>
sudo netstat -tulpn
</code>

2. Просмотрите соединения по протоколам:
<code>
sudo ss -tulpn
</code>

3. Просмотрите статистику трафика:
<code>
sudo iptables -L -n -v
</code>

== 8. Устранение неполадок ==

=== Частые проблемы ===

1. '''Заблокирован доступ к серверу''':
* Подключитесь через консоль
* Отключите файрвол: <code>sudo ufw disable</code>
* Или сбросьте iptables: <code>sudo iptables -F</code>

2. '''SSH не работает''':
* Проверьте правила: <code>sudo ufw status</code>
* Разрешите SSH: <code>sudo ufw allow ssh</code>

3. '''Веб-сайт недоступен''':
* Проверьте правила для портов 80 и 443
* Убедитесь, что веб-сервер запущен

=== Диагностика ===

1. Проверьте статус файрвола:
<code>
sudo ufw status verbose
sudo iptables -L -n -v
</code>

2. Проверьте открытые порты:
<code>
sudo nmap -sT -O localhost
</code>

3. Проверьте сетевые интерфейсы:
<code>
ip addr show
</code>

== 9. Дополнительные настройки безопасности ==

=== Ограничение по времени ===

1. Создайте скрипт для временного открытия порта:
<code>
sudo nano /usr/local/bin/temp-open-port.sh
</code>

2. Добавьте содержимое:
<code>
#!/bin/bash
PORT=$1
DURATION=$2

# Открыть порт
sudo ufw allow $PORT/tcp

# Запланировать закрытие
echo "sudo ufw delete allow $PORT/tcp" | at now + $DURATION minutes

echo "Порт $PORT будет открыт в течение $DURATION минут"
</code>

3. Сделайте скрипт исполняемым:
<code>
sudo chmod +x /usr/local/bin/temp-open-port.sh
</code>

=== Настройка геоблокировки ===

1. Установите geoip модуль:
<code>
sudo apt install xtables-addons-common
</code>

2. Заблокируйте трафик из определенных стран:
<code>
sudo iptables -A INPUT -m geoip --src-cc CN,KR -j DROP
</code>

== 10. Автоматизация и скрипты ==

=== Скрипт для быстрой настройки ===

1. Создайте скрипт настройки:
<code>
sudo nano /usr/local/bin/firewall-setup.sh
</code>

2. Добавьте содержимое:
<code>
#!/bin/bash

# Очистка правил
sudo ufw --force reset

# Базовые правила
sudo ufw default deny incoming
sudo ufw default allow outgoing

# SSH
sudo ufw allow ssh

# Веб-сервер
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Включение файрвола
sudo ufw enable

echo "Файрвол настроен и включен"
</code>

3. Сделайте скрипт исполняемым:
<code>
sudo chmod +x /usr/local/bin/firewall-setup.sh
</code>

== Заключение ==

Файрвол успешно настроен! Теперь ваш сервер защищен от нежелательного трафика.

'''Для размещения ваших защищенных проектов на надежном хостинге рекомендуем воспользоваться услугами [ARK-HOSTER.RU](https://ark-hoster.ru):'''

* '''[Выделенные серверы](https://ark-hoster.ru/dedicated/)''' - для корпоративных проектов с продвинутой защитой
* '''[VPS/VDS серверы](https://ark-hoster.ru/vpsgame/)''' - для небольших и средних проектов

Наши специалисты помогут с настройкой файрвола и обеспечением безопасности вашего сервера!

Настройка файрвола (iptables/ufw) - История изменений

Admin в 10:39, 15 октября 2025

Admin в 20:02, 14 октября 2025

Admin: Новая страница: «= Настройка файрвола (iptables/ufw) = == 1. Подготовка системы == * Войдите в систему под учетной з…»