Сетевой экран (firewall, брандмауэр) — система контроля сетевого трафика между сегментами сети. Анализирует входящие и исходящие пакеты по набору правил: разрешить (ACCEPT), заблокировать (DROP) или отклонить с уведомлением (REJECT).
Как работает
Пакетный фильтр (stateless) проверяет каждый пакет независимо: источник/получатель IP, порт, протокол. Stateful-фаервол отслеживает состояние соединений: пакет FIN/ACK для установленного TCP-соединения разрешается автоматически, новый пакет без SYN — нет.
На Linux основной инструмент — iptables (с 1998) или его замена nftables (с 2014, ядро 3.13). В Ubuntu — UFW как упрощённый интерфейс iptables. В RHEL — firewalld с зонами и сервисами.
Правило iptables: iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT — разрешить SSH с подсети 192.168.1.x. iptables -P INPUT DROP — дефолтная политика: блокировать всё входящее.
История
Первое упоминание термина «firewall» в контексте сетей — 1988 год, Билл Чесвик и Стив Белловин (AT&T Bell Labs). Коммерческие фаерволы появились в 1990-1991 годах: DEC SEAL, Trusted Information Systems. Linux iptables появился в ядре 2.4 (2001). nftables — в ядре 3.13 (2014).
Типы фаерволов
- Пакетный фильтр — L3/L4, stateless, высокая производительность.
- Stateful inspection — отслеживает состояние соединений.
- Application-layer (WAF) — анализирует L7, понимает HTTP/SQL.
- Next-Generation Firewall (NGFW) — DPI, IPS, SSL-инспекция, идентификация приложений.
Связь с хостингом
На VPS минимальный фаервол: закрыть все входящие порты кроме 22 (SSH), 80 (HTTP), 443 (HTTPS). CSF — популярная надстройка для cPanel-серверов. Облачные провайдеры добавляют Security Groups — stateful фаерволы на уровне гипервизора до трафика ВМ.
Ключевые отличия от похожих терминов
IDS (Intrusion Detection System) обнаруживает атаки, но не блокирует. IPS (Intrusion Prevention System) — обнаруживает и блокирует. Suricata — IDS/IPS. Фаервол фильтрует по портам/IP; WAF анализирует содержимое HTTP-запросов.
Типы сетевых экранов
Stateless — фильтрация по статическим правилам (IP, порт) без учёта состояния соединения. Stateful (connection tracking) — отслеживает состояние TCP-сессии; разрешает ответный трафик автоматически. NGFW (Next Generation Firewall) — глубокая инспекция пакетов (DPI), IPS, контроль приложений.
Фаервол на уровне хоста
iptables/nftables — встроены в Linux. UFW — упрощённый интерфейс для Ubuntu. CSF — для cPanel-серверов. Принцип: запрещено всё кроме явно разрешённого (whitelist-модель). Базовый набор: 22 (SSH), 80 (HTTP), 443 (HTTPS), 0 icmp echo.
Фаервол в облаке
Security Groups (AWS, Yandex Cloud, Hetzner) — stateful фаервол уровня гипервизора: дополнительный уровень до хостового фаервола. Network ACL (AWS) — stateless, на уровне подсети. Для VPS с несколькими сервисами: хостовый фаервол + облачный Security Group в связке.
nftables: современная замена iptables
nftables включён по умолчанию в Debian 10+, Ubuntu 20.10+. Синтаксис: nft add rule inet filter input tcp dport 22 accept. Таблицы (inet filter, nat), chains (input, forward, output), rules. Поддерживает sets для эффективной блокировки IP-списков. iptables-translate: автоматическая конвертация правил iptables в nftables.