Как настроить firewall на VPS?

Настройка фаервола (firewall) на вашем VPS хостинге – это не просто рекомендация, а абсолютно критически важный шаг для обеспечения безопасности сервера и данных, которые на нем хранятся. В этой статье мы подробно рассмотрим, как настроить основные инструменты фаервола в Linux: UFW, Firewalld и непосредственно Iptables, чтобы ваш VPS был надежно защищен от несанкционированного доступа, вредоносных атак и прочих угроз из интернета.

Почему firewall критически важен для вашего VPS?

В современном интернете, где количество кибератак растет экспоненциально, оставлять сервер без фаервола – это как оставлять дверь открытой в оживленном районе. VPS-серверы, по своей природе, постоянно доступны из интернета, что делает их мишенью для автоматизированных сканеров портов, ботов, пытающихся подобрать пароли, и целенаправленных атак. Фаервол действует как привратник, контролируя весь входящий и исходящий сетевой трафик на основе заданных правил.

Вот несколько ключевых причин, почему фаервол незаменим:

• Защита от сканирования портов: Большинство атак начинаются со сканирования открытых портов. Фаервол позволяет закрыть все порты, кроме тех, которые действительно необходимы для работы ваших сервисов.
• Предотвращение несанкционированного доступа: Блокируя доступ к службам (например, SSH, если вы не используете его), фаервол значительно снижает поверхность атаки.
• Ограничение атак типа DoS/DDoS: Хотя фаервол не является панацеей от масштабных DDoS-атак, он может помочь смягчить менее интенсивные атаки, блокируя подозрительные IP-адреса или ограничивая количество соединений.
• Контроль исходящего трафика: Фаервол также может контролировать, какие соединения ваш сервер может устанавливать с внешним миром, предотвращая, например, использование вашего VPS в качестве части ботнета для рассылки спама.
• Изоляция служб: Вы можете настроить правила так, чтобы разные службы могли общаться только с определенными IP-адресами или другими службами на сервере.

Помните, что безопасность – это многоуровневый процесс, и фаервол – лишь один из его столпов. Но без него остальные меры могут оказаться гораздо менее эффективными.

Выбор инструмента: UFW, Firewalld или Iptables?

В мире Linux существует несколько популярных инструментов для управления фаерволом. Все они в конечном итоге взаимодействуют с подсистемой Netfilter ядра Linux, но предлагают разные уровни абстракции и удобства использования. Выбор инструмента часто зависит от дистрибутива Linux, ваших предпочтений и уровня комфорта с командной строкой.

Инструмент	ОС (типично)	Сложность	Основные особенности
UFW (Uncomplicated Firewall)	Ubuntu, Debian	Низкая	Простой синтаксис, ориентирован на быстрое применение базовых правил. Отлично подходит для новичков и большинства задач.
Firewalld	CentOS, RHEL, Fedora	Средняя	Использует концепцию "зон" и "сервисов". Поддерживает динамическое обновление правил без перезагрузки. Хорошо для серверов с меняющимися требованиями.
Iptables	Все Linux	Высокая	Низкоуровневый, мощный и гибкий. Дает полный контроль над Netfilter. Требует глубокого понимания принципов работы сети.

Для большинства пользователей VPS, особенно на Ubuntu/Debian, UFW будет наиболее простым и достаточным решением. Если вы используете CentOS/RHEL, то Firewalld – это ваш выбор по умолчанию. Iptables рекомендуется для тех, кто нуждается в максимальной гибкости или работает со сложными сетевыми конфигурациями.

Настройка UFW (Uncomplicated Firewall)

UFW – это интерфейс для Iptables, разработанный для упрощения процесса настройки фаервола. Он предустановлен или легко устанавливается на Debian-подобных системах и является отличной отправной точкой.

Установка и включение UFW

Если UFW еще не установлен, сделайте это:

sudo apt update
sudo apt install ufw

Перед тем как включить UFW, убедитесь, что вы разрешили SSH, иначе вы рискуете заблокировать себя. По умолчанию UFW блокирует весь входящий трафик.

sudo ufw allow ssh  # Разрешить входящие соединения по порту SSH (по умолчанию 22)
sudo ufw enable     # Включить UFW. Подтвердите "y"
sudo ufw status verbose # Проверить статус и правила UFW

После включения UFW, его статус должен быть "active".

Настройка политик по умолчанию

Рекомендуется установить политику "запретить все входящие, разрешить все исходящие". Это означает, что сервер не будет принимать никаких соединений извне, кроме явно разрешенных, но сможет свободно устанавливать соединения наружу (для обновлений, запросов к API и т.д.).

sudo ufw default deny incoming
sudo ufw default allow outgoing

Разрешение доступа к службам и портам

Теперь, когда базовые политики установлены, разрешим доступ к необходимым службам:

• SSH (порт 22): Мы уже разрешили его. Если вы используете нестандартный порт SSH, укажите его:

  sudo ufw allow 2222/tcp # Если ваш SSH на порту 2222

• HTTP (порт 80) и HTTPS (порт 443) для веб-сервера:

  sudo ufw allow http
  sudo ufw allow https
  # Или по номерам портов
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp

• DNS (порт 53) для сервера имен (если ваш VPS является DNS-сервером):

  sudo ufw allow 53

• FTP (порты 20, 21 и пассивные порты, если используется):

  sudo ufw allow ftp # Разрешит порты 20, 21. Для пассивного режима может потребоваться больше.

• Произвольный порт:

  sudo ufw allow 12345/tcp # Разрешить TCP-порт 12345
  sudo ufw allow 54321/udp # Разрешить UDP-порт 54321

• Ограничение доступа по IP-адресу:

  sudo ufw allow from 192.168.1.1 to any port 22 # Разрешить SSH только с IP 192.168.1.1
  sudo ufw deny from 1.2.3.4 # Заблокировать весь трафик с IP 1.2.3.4

Управление правилами UFW

Просмотр правил с нумерацией полезен для их удаления:

sudo ufw status numbered

Удаление правила по номеру:

sudo ufw delete 3 # Удалить правило под номером 3

Отключение UFW (осторожно, это сделает ваш сервер уязвимым!):

sudo ufw disable

Сброс всех правил UFW к значениям по умолчанию (удаляет все ваши настройки):

sudo ufw reset

Настройка Firewalld

Firewalld – это динамический демон управления фаерволом с поддержкой зон. Он является стандартным фаерволом для дистрибутивов Red Hat, таких как CentOS, RHEL и Fedora.

Установка и запуск Firewalld

Установите Firewalld, если он еще не установлен:

sudo yum install firewalld # Для CentOS 7
sudo dnf install firewalld # Для CentOS 8 / Fedora

Запустите и включите Firewalld, чтобы он стартовал при загрузке:

sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --state # Проверить статус

Работа с зонами

Firewalld использует концепцию "зон" (zones), которые определяют уровень доверия к сетевым интерфейсам или источникам. Наиболее часто используется зона public.

sudo firewall-cmd --get-active-zones # Показать активные зоны
sudo firewall-cmd --zone=public --list-all # Показать все правила для зоны public

Добавление и удаление служб и портов

Firewalld позволяет разрешать доступ к службам по их именам (например, ssh, http, https) или по номерам портов. Используйте флаг --permanent, чтобы изменения сохранялись после перезагрузки, и --reload для их применения.

• SSH:

  sudo firewall-cmd --zone=public --add-service=ssh --permanent
  sudo firewall-cmd --reload

• HTTP и HTTPS:

  sudo firewall-cmd --zone=public --add-service=http --permanent
  sudo firewall-cmd --zone=public --add-service=https --permanent
  sudo firewall-cmd --reload

• Произвольный порт:

  sudo firewall-cmd --zone=public --add-port=12345/tcp --permanent
  sudo firewall-cmd --reload

• Удаление правила:

  sudo firewall-cmd --zone=public --remove-service=ftp --permanent
  sudo firewall-cmd --zone=public --remove-port=12345/tcp --permanent
  sudo firewall-cmd --reload

• Ограничение по IP-адресу:

  sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port port="22" protocol="tcp" accept' --permanent
  sudo firewall-cmd --reload

Прямые правила (для продвинутых сценариев)

Если вам нужен более низкоуровневый контроль, Firewalld позволяет использовать "прямые правила" (direct rules), которые напрямую взаимодействуют с Iptables. Это полезно для сложных конфигураций, которые не могут быть выражены через зоны и сервисы.

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25 -j DROP --permanent
sudo firewall-cmd --reload

Это правило блокирует весь входящий трафик на TCP-порт 25 (SMTP), используя синтаксис Iptables.

Настройка Iptables (Низкоуровневая мощь)

Iptables – это утилита командной строки, которая позволяет администратору настраивать таблицы правил, предоставляемые брандмауэром ядра Linux (Netfilter). Это самый мощный, но и самый сложный способ настройки фаервола.

Основные концепции Iptables

• Таблицы (Tables): Наборы цепочек, выполняющих определенные функции (например, filter для фильтрации пакетов, nat для преобразования сетевых адресов).
• Цепочки (Chains): Последовательности правил, через которые проходят пакеты. Основные цепочки:
  • INPUT: Для пакетов, предназначенных для самого сервера.
  • OUTPUT: Для пакетов, генерируемых сервером.
  • FORWARD: Для пакетов, проходящих через сервер (если он действует как маршрутизатор).
• Правила (Rules): Каждое правило состоит из условий (совпадений, MATCH) и действия (цели, TARGET). Если пакет соответствует условиям, к нему применяется действие.
• Действия (Targets): Что делать с пакетом: ACCEPT (пропустить), DROP (отбросить без уведомления), REJECT (отбросить с уведомлением), LOG (записать в лог), RETURN (вернуться в предыдущую цепочку).

Базовые правила Iptables

Начнем с установки политик по умолчанию на DROP для входящего и перенаправляемого трафика. Это обеспечит максимальную безопасность, блокируя все, что не разрешено явно.

sudo iptables -P INPUT DROP    # Запретить весь входящий трафик по умолчанию
sudo iptables -P FORWARD DROP  # Запретить перенаправляемый трафик
sudo iptables -P OUTPUT ACCEPT # Разрешить весь исходящий трафик по умолчанию (можно ужесточить)

Теперь разрешим необходимый трафик:

# Разрешить уже установленные и связанные соединения (очень важно!)
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешить трафик через интерфейс loopback (localhost)
sudo iptables -A INPUT -i lo -j ACCEPT

# Разрешить SSH (порт 22)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Разрешить HTTP (порт 80)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Разрешить HTTPS (порт 443)
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Просмотр текущих правил
sudo iptables -L -v -n

Флаги -v (verbose) показывает счетчики пакетов/байтов, -n (numeric) показывает IP-адреса и порты в числовом формате, а не именах.

Сохранение и восстановление правил Iptables

Правила Iptables по умолчанию не сохраняются после перезагрузки. Их нужно явно сохранить и настроить автоматическую загрузку при старте системы.

Для Debian/Ubuntu:

Установите пакет iptables-persistent:

sudo apt-get install iptables-persistent

В процессе установки вас спросят, хотите ли вы сохранить текущие правила IPv4 и IPv6. Согласитесь. Если правила изменились, сохраните их вручную:

sudo netfilter-persistent save

Правила будут сохранены в /etc/iptables/rules.v4 и /etc/iptables/rules.v6.

Для CentOS/RHEL (старые версии или если Firewalld отключен):

Установите iptables-services:

sudo yum install iptables-services

Сохраните текущие правила:

sudo service iptables save

Включите сервис Iptables для автоматического запуска:

sudo systemctl enable iptables

Правила будут сохранены в /etc/sysconfig/iptables.

Важное замечание: При работе с Iptables, особенно при установке политики DROP, всегда будьте крайне осторожны. Одна неверная команда может полностью заблокировать ваш доступ к серверу.

Типичные сценарии и лучшие практики

Защита SSH

• Смените стандартный порт SSH (22) на нестандартный. Это не панацея, но значительно снизит шум от автоматических сканеров. Не забудьте разрешить новый порт в фаерволе.
• Ограничьте доступ по IP: Если вы всегда подключаетесь с одного или нескольких фиксированных IP-адресов, разрешите SSH только для них.
• Используйте Fail2ban: Это мощный инструмент, который автоматически блокирует IP-адреса, пытающиеся подобрать пароли или совершить другие атаки, взаимодействуя с вашим фаерволом.

Разрешение доступа к веб-серверу

Для большинства веб-серверов достаточно открыть порты 80 (HTTP) и 443 (HTTPS). Если у вас есть специфические порты для административных панелей или других веб-сервисов, открывайте их только при необходимости и, по возможности, ограничивайте доступ по IP.

Блокировка вредоносных IP-адресов

Если вы заметили подозрительную активность с определенных IP-адресов (например, в логах веб-сервера или SSH), вы можете заблокировать их на уровне фаервола:

# UFW
sudo ufw deny from 1.2.3.4

# Firewalld
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="1.2.3.4" drop' --permanent
sudo firewall-cmd --reload

# Iptables
sudo iptables -A INPUT -s 1.2.3.4 -j DROP

Мониторинг и логирование

Настройте фаервол на логирование отброшенных пакетов (особенно для INPUT цепочки). Это поможет вам выявлять попытки атак и отлаживать правила. Будьте внимательны: чрезмерное логирование может быстро заполнить дисковое пространство.

# Пример для Iptables (добавляется перед правилом DROP по умолчанию)
sudo iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_denied: " --log-level 7

Резервное копирование правил

Всегда делайте резервные копии ваших правил фаервола. Это позволит быстро восстановить работоспособность в случае сбоя или ошибочной настройки.

Осторожность с IPv6

Не забывайте, что большинство современных VPS поддерживают IPv6. Убедитесь, что ваши правила фаервола применяются как к IPv4, так и к IPv6, или что IPv6 полностью отключен, если он вам не нужен. UFW и Firewalld обычно управляют обоими протоколами, но с Iptables вам понадобится ip6tables.

Что делать, если вы заблокировали себя?

Это распространенная проблема, особенно при первой настройке фаервола. Если вы потеряли доступ по SSH после включения фаервола, есть несколько вариантов:

1. Консоль VPS: У большинства провайдеров VPS, включая Valebyte, есть функция веб-консоли или VNC-доступа из панели управления. Используйте ее для прямого доступа к командной строке сервера, как если бы вы сидели за ним. Оттуда вы сможете исправить или отключить правила фаервола.
2. Режим восстановления (Recovery Mode): Некоторые провайдеры предлагают загрузку в режим восстановления, который позволяет получить доступ к файловой системе вашего VPS и отредактировать файлы конфигурации фаервола (например, /etc/iptables/rules.v4 или /etc/ufw/user.rules).
3. Переустановка ОС: В крайнем случае, если ничего не помогает, вы можете переустановить операционную систему на VPS. Это сотрет все данные, но вернет вам доступ. Это должен быть самый последний вариант.

Совет: Перед тем как включить фаервол с политикой "deny incoming", всегда открывайте SSH. И лучше всего сначала протестировать правила на тестовом сервере или быть готовым использовать консоль VPS.

Выводы

Настройка фаервола – это фундаментальный аспект обеспечения безопасности любого VPS. Независимо от того, выберете ли вы простоту UFW, гибкость Firewalld или мощь Iptables, главное – это наличие продуманного набора правил, который защищает ваш сервер, не препятствуя работе необходимых служб.

Помните, что безопасность – это не одноразовая настройка, а постоянный процесс. Регулярно просматривайте свои правила фаервола, обновляйте их по мере изменения требований к серверу и следите за новыми угрозами. С правильно настроенным фаерволом ваш VPS от Valebyte будет работать стабильно и безопасно, позволяя вам сосредоточиться на развитии ваших проектов, а не на борьбе с кибератаками.