Сетевые ограничения и виртуальный украинский хостинг |
 |
Как правило, люди создают интернет-ресурсы на личном ПК и там же их тестируют.
И лишь после загружают интернет-ресурсы на сервер виртуального хостинга, где впоследствии они оказываются неработоспособными. Подобное, как правило, случается со многими новичками и вызывает много негодования: “Как же так? Я же видел, как интернет-ресурс работал на моем ПК, а на вашем сервере почему-то он не работает. У вас плохой сервер, срочно чините”.
Этот пользователь даже не задумывается, что он создавал интернет-ресурс на ПК, к которому у него безграничный доступ и где работает лишь он сам. На виртуальном хостинге работает очень много людей, и для их безопасной и комфортной работы вводятся специальные ограничения.
Какие сетевые ограничения имеет виртуальный украинский хостинг
Введение
Любые ограничения — это очень неприятно, однако те, что использует виртуальный украинский хостинг, должны помочь пользователю. Не будь их, то клиент столкнулся бы с иными проблемами, которые перевешивают неудобства от ограничений. Одним из ограничений является файрвол, об устройстве которого рассказано будет в данной статье.
На виртуальном хостинге, функцию файрвола часто выполняет специальный программный комплекс под названием CSF. Это надстройка над файрволом Iptables, входящая в ядро Linux. CSF дает возможность не просто определить, к каким службам можно сделать подключение, создав набор специальных правил для Iptables, но также проводит аудит журнальных файлов сервера, обнаруживая любые попытки атак на сервер.
Сетевые соединения бывают двух типов: исходящие и входящие.
Входящие ограничения
Входящие — возможность подключаться к серверу. Здесь все просто, хостер блокирует все, кроме нескольких служб, которые нужны для функционирования хостинга. Доступны лишь: FTP сервер, SSH сервер, Веб сервер, Почтовый сервер, а также контрольная панель cPanel.
Вроде бы, для работы интернет-ресурса больше и не надо. Но нет. К серверу БД, запущенному на своем ПК вы подключаетесь свободно и для редактирования БД используете любимое приложение. Однако, когда дело доходит уже до подключения из этого же приложения к аналогичному серверу на хостинге, то у вас ничего не получается. Происходит это потому, что хостер блокирует сетевые соединения к серверу БД, если соединения происходят не с его сервера.
Это не удобно. Зачем же это сделано? Для поддержания безопасности. Для того, чтобы удаленные боты не смогли заниматься выбором пароля к вашей БД.
Никто не говорит, что у данных ботов получилось бы подобрать необходимый пароль, получить доступ, взломать интернет-ресурс. Однако, смотря, как сегодняшние мошенники тратят много усилий, изощряются и придумывают все новые способы взлома систем, следует принимать любую, даже малую, вероятность всерьез.
Почему я назвал подобных людей мошенниками, но не хакерами? Все весьма просто. Последние это довольно неплохие люди, с энтузиазмом, интересующиеся больше тем, как именно это устроено, и, как обойти разнообразные ограничения для поддержания, так сказать, спортивного интереса, чем тем, как сделать ближнему плохо. Не знаю почему, однако у меня сложилось такое мнение.
Мошенники
Так вот, в настоящее время мошенники регулярно сканируют ваш интернет-ресурс для того, чтобы найти проблемные места. Смотрят странички с оповещениями об ошибках, а также собирают информацию. Они, к примеру, могут записать уведомление о невозможности подключиться к БД вашим скриптом (когда оно показывается на страничке, вместо интернет-ресурса). Затем, зная логин, имя БД, пытаются подбирать нужный пароль.
И, даже если не создавать в БД удаленных пользователей и отбросить саму возможность того, что они правильно подберут пароль, сам процесс подбора пароля, а также наличие множества соединений с сервером БД, несут много лишней нагрузки на сервер.
Правда не все так плохо. Пользователь, который желает редактировать БД не в веб-интерфейсе, а, применяя собственное приложение, может воспользоваться обходным путем. К примеру, он собирается загрузить дамп БД, размер которого больше ограничения на загрузку файлов в PHP. Для этого можно применить протокол ssh.
Речь не обязательно здесь идет о том, что надо будет заходить в консоль сервера и там, вводя все нужные команды, загружать дамп БД. Можно применять проброс порта 3306 (когда речь идет о Mysql) на свой локальный ПК, используя SSH соединение с сервером.
Для этого, к примеру, можно использовать приложение Putty. Как видно из данного примера, пользователь может обойти определенные ограничения без подвержения риску сервера.
Исходящие ограничения
Теперь следует поговорить об исходящих ограничениях. Это, на первый взгляд, бессмысленная мера. Ведь все исходящие соединения устанавливать могут исключительно программы, которые запущены из-под аккаунтов пользователей. Однако, здесь есть некоторые нюансы. Как быть, если аккаунт пользователя взламывают?
Вирус ворует логин-элементы из почтового клиента на ПК пользователя, либо находится уязвимость в коде интернет-ресурса, либо мошенник покупает аккаунт у хостера, используя ворованную кредитную карточку.
Довольно несложный Dark Mailer (приложение для рассылки спама), вполне способен отправить миллиарды писем в обход почтового локального сервера, при этом в самые минимальные сроки. Это может быть причиной попадания сервера в современные публичные блэклисты.
В итоге, пользователи хостера не смогут отправлять почту, применяя данный сервер. По этой причине хостер блокирует все исходящие соединения на порт 25. Аналогично и с прочими портами, нет никакого смысла разрешать исходящие соединения без какой-то крайней потребности.
Разумеется, у хостеров часто есть исключения из правил, некоторые порты бывают разрешены для исходящих соединений. К примеру, иногда разрешено подключаться к 80-ому порту, поскольку многие CMS могут скачивать обновления и дополнения из сети самостоятельно. Это намного лучше, нежели каждый раз загружать их на сервер, применяя FTP.
Кроме того, запрещая подключения к 25-ому порту, хостер оставляет открытым 587, который также дает возможность отправить почту посредством удаленного сервера, правда на нем следует авторизоваться.
Особенность файрволов
Нельзя не заметить одну особенность файрволов у хостеров: они блокируют адреса IP компьютеров, с которых осуществляются попытки подбора паролей, либо атаки на интернет-ресурсы пользователей. Под попыткой подбора паролей здесь подразумеваются именно ошибки аутентификации в различных сервисах нашего сервера. Ошибки авторизации на FTP сервере, в почте, или при входе в панель cPanel.
Касательно атак, это совпадения с правилами mod_security (набор специальных правил, которые призваны предотвратить взлом интернет-ресурса). В случае если подобных совпадений, при обращении к вашему интернет-ресурсу окажется много, то IP адрес посетителя может заблокироваться.
Не нужно переживать, любой такой блок — это временная мера, и спустя 20 минут он будет снят. Однако, если этих “временных” блоков будет больше 4-х, блок станет постоянным. Для его снятия вам необходимо будет обратиться к в техническую поддержку хостинг провайдера.
Вывод
Для того, чтобы подытожить написанное, следует сказать, что все ограничения хостеры вводят исключительно для безопасности и спокойствия клиентов.
Если вы вдруг столкнетесь с какими-либо проблемами, которые связаны с сетевыми ограничениями, не стесняйтесь обращаться с вопросами в техническую поддержку, там постараются подсказать вам самый удобный вариант решить ваши проблемы без какого-то ущерба для безопасности сервера.
Отзывы о хостинге:
