Jak mogę używać programu Parallels Virtuozzo wbudowany w mechanizm zapory ( nazywane faktycznie psa-firewall
pod okap widoczniepsa-firewall
wydaje się być oddzielna interfejs Plesk - Tak czy inaczej, jest to w zasadzie UI dla ograniczonego zarządzania iptables) dla VPSS założyć prostą regułę, która blokuje dostęp do port dla wszystkich połączeń innych niż określone adresy IP?
Wpadłem na pomysł, że reguły zapory sieciowej VZ - podobnie jak reguły iptables, na które (według mnie) są przetłumaczone - zostały wykonane w kolejności od góry do dołu i że mogłem zablokować dostęp do mojego portu z wyjątkiem określonych adresów IP (w tym przypadku , SSH na porcie 22), mając wąskie reguły Zezwól na liście, dla adresu IP xx.xx.xx.xx i portu 22, a następnie regułę odrzucenia na końcu dla dowolnego adresu IP i portu 22.
Pomysł polegał na tym, że w przypadku żądań z podanych adresów IP zostanie osiągnięta reguła Zezwól, więc reguła Odrzucenia nigdy nie zostanie osiągnięta. W pozostałym zakresie reguła Zezwól zostanie zignorowana, a reguła odrzucenia pod nią zostanie osiągnięta.
Ale tak się nie udało . Na początku działało to dokładnie tak, jak zamierzano, ale ~ 20 minut później znalazłem się z dala od SSH, a jedynym sposobem, w jaki mogłem wrócić, było zarówno usunięcie reguły Odrzuć, jak i dodanie (nadmiarowej) Zezwól wszystkim na port 22 na górę listy.
Przy dalszych testach wydaje się, że kolejność reguł w interfejsie użytkownika zapory VZ nie określa czysto kolejności w wynikowej konfiguracji. np. stwierdzam, że posiadanie reguły Zezwalaj wszystkim na 22 na górze listy i Odrzuć wszystkie do 22 na dole wydaje się blokować wszystkie połączenia, podobnie jak robi to dokładnie z odwróconą kolejnością.
Miałem teorię, że narzędzie przygotowuje nowo aktywowane reguły do listy, ale wydaje się, że posiadanie reguły „odrzuć wszystko” zawsze obezwładnia wszelkie reguły „akceptuj jeden” bez względu na pozycję listy lub kolejność ich dodawania.
Nie mogę znaleźć wzoru i nie mogę znaleźć żadnych odpowiednich zasobów w tym narzędziu, które by to wyjaśniły. Nie mogę też znaleźć innych podejść.
Powodem, dla którego używam narzędzia zapory sieciowej VZ, a nie tylko bezpośredniego korzystania z iptables , jest to, że chcę, aby administratorzy mogli aktualizować reguły i dodawać adresy IP z białej listy bez żadnego niebezpieczeństwa, że zablokują się na stałe. Przydaje się możliwość administrowania dostępem SSH za pomocą narzędzia, które samo w sobie nie wymaga dostępu SSH.
ps Bardzo trudno jest znaleźć wysokiej jakości informacje na temat zapory sieciowej VZ. Wszędzie, gdzie patrzę, zabiera mnie albo żałośnie niekompletne zasoby w stylu manekinów, albo informacje o bezpośredniej konfiguracji iptables. Nie mogę znaleźć niczego na temat interpretacji ustawień interfejsu użytkownika za kulisami ani ich związku z istniejącymi ustawieniami iptables. Docenione zostaną również wszelkie ogólne wskazówki dotyczące szczegółowych informacji o jakości na temat tego, co dzieje się za kulisami narzędzia zaporowego VZ.