Zabezpečení
Nastavení zabezpečení a firewallu na serveru (pomocí iptables). Je zde možné nadefinovat jednotlivé adresy nebo sítě s maskou a u těchto individuálně aktivovat/deaktivovat základní služby (viz níže) nebo vlastní definované porty (rozsahy portů).
Přidat IP adresu
Přidat IP adresu do pravidel FW je možné tlačítkem Přidat IP adresu (
).
- IP adresa – IP adresa pro pravidlo FW. Je možné zadat i celou síť s maskou (např. /24)
- Poznámka – vlastní poznámka pro zadanou adresu
Seznam volitelných portů
Zobrazit seznam nastavených vlastních portů je možné tlačítkem Seznam volitelných portů (
).
Přidat volitelný port
Přidat nový volitelný port nebo rozsah portů je možné tlačítkem Přidat volitelný port (
). Tento port (rozsah portů) je poté možné použít při nastavování FW.
- Popis – vlastní popis nastaveného portu (zobrazí se v tabulce před číslem portu/rozsahem)
- Použít rozsah portů – při zaškrtnutí je možné nastavit rozsah portů (od–do)
- Číslo portu – nastavit číslo portu. Pokud je výše nastaveno použití rozsahu portů lze nastavit počátek i konec rozsahu.
- Protokol – zvolit transportní protokol pro zamýšlené použití (TCP, UPD, TCP/UDP)
Nastavení zabezpečení
UPOZORNĚNÍ:
Pokud je kdekoliv umístěné/přidané pravidlo s localhost IP – 127.0.0.1, tak se na serveru s ISPA deaktivuje firewall (FW na jiném zařízení). Při deaktivaci firewallu se provede vymazání všech FW pravidel na serveru.
- Globálně – poslední řádek nastavuje globální pravidla pro přístup na odpovídající služby/porty (povolen
/ zakázán 
)
- HTTP (80) – webové rozhraní
- HTTPS (443) – webové rozhraní
- SSH (22) – přístup na SSH na defautlním portu
- SMTP (25) – zasílání emailů
- POP3 (110, 995) – příjem emailů
- IMAP (143, 993) – příjem emailů
- FTP (20, 21) – přenos souborů
- MySQL (3306) – databáze
- Syslog (514) – syslog (MikroTik)
- Ping – povolit nebo zakázat odpověď na ping
Pokud se provede nějaká změna v nastavení zabezpečení zobrazí se dvě tlačítka – Aktivovat (
) a Vrátit změny (
). FW je možné kompletně celý nastavit a až po jeho kompletním nastavení tyto všechny změny aktivovat tlačítkem Aktivovat ().
Nastavené změny se automaticky provedou do 5 minut. Po aktivování FW ve formuláři se nad ním tato informace objeví (
).
Příklad propsaných pravidel v iptables:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s X.X.X.X/32 -p tcp -m multiport --dports 80,443,22 -j ACCEPT
-A INPUT -s X.X.X.X/32 -p tcp -m multiport --dports 25,110,995,143,993,20,21,3306 -j DROP
-A INPUT -s X.X.X.X/32 -p udp -m udp --dport 514 -j DROP
-A INPUT -s X.X.X.X/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s Y.Y.Y.Y/32 -p tcp -m multiport --dports 80,443,22 -j ACCEPT
-A INPUT -s Y.Y.Y.Y/32 -p tcp -m multiport --dports 25,110,995,143,993,20,21,3306 -j DROP
-A INPUT -s Y.Y.Y.Y/32 -p udp -m udp --dport 514 -j DROP
-A INPUT -s Y.Y.Y.Y/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s Z.Z.Z.Z/32 -p tcp -m multiport --dports 80,443,22,8100:12500,8888 -j ACCEPT
-A INPUT -s Z.Z.Z.Z/32 -p tcp -m multiport --dports 25,110,995,143,993,20,21,3306 -j DROP
-A INPUT -s Z.Z.Z.Z/32 -p udp -m multiport --dports 8888 -j ACCEPT
-A INPUT -s Z.Z.Z.Z/32 -p udp -m udp --dport 514 -j DROP
-A INPUT -s Z.Z.Z.Z/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443,8888 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,25,110,995,143,993,20,21,3306,8100:12500 -j DROP
-A INPUT -p udp -m multiport --dports 8888 -j ACCEPT
-A INPUT -p udp -m udp --dport 514 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 65535 -j ACCEPT