Какие документы надо чтобы открыть ип: Как открыть ИП в 2021 году пошаговая инструкция для начинающих

Документы для регистрации ИП в 2021 г

1. Общий список документов

Чтобы в 2021 году зарегистрироваться в качестве ИП, вам потребуется подготовить следующий пакет документов:

• Заявление по форме Р21001
• Заявление о переходе на УСН (если планируете применять данную систему налогообложения)
• Квитанция об оплате госпошлины
• Копия паспорта

Важно! С 25.11.2020 изменились форма заявления Р21001 для государственной регистрации ИП и требования к заполнению формы. Если вы подготовите заявление по старой форме, то его
не примут в налоговой. Наш бесплатный сервис поможет вам подготовить документы по новому образцу.

2. Заявление по форме Р21001

Самый главный документ при регистрации ИП — заявление по форме Р21001. Этот бланк состоит из пяти листов. В нем указываются основные сведения о предпринимателе: имя, адрес, виды деятельности, контактные данные и прочее. Если заявление вы планируете отправить почтой или через представителя по доверенности, то с формой нужно будет обратиться к нотариусу для заверения подписи будущего предпринимателя. При личной подаче заявления нотариального заверения подписи не требуется, достаточно будет предъявить паспорт и поставить подпись в присутствии налогового инспектора или сотруднкиа МФЦ.

3. Заявление о переходе на УСН

Заявление на УСН. Чтобы работать на упрощенной системе налогообложения с момента регистрации это заявление надо подать либо вместе с документами на регистрацию ИП, либо в течение 30 дней с момента регистрации. При заполнении заявления вы выбираете как будете платить налог: как 6% от доходов или как 15% с разницы между доходами и расходами.

4. Квитанция об оплате госпошлины

Распечатайте квитанцию на оплату госпошлины. Заплатить пошлину по квитанции вы можете в любом банке. В некоторых отделениях для этого даже необязательно обращаться к операционисту. Специальные терминалы позволяют сделать это по штрих-коду. Просто поднесите его к сканирующему устройству. Также для оплаты пошлины можно воспользоваться онлайн-сервисом ФНС или интернет-банком.

Факт оплаты фиксируется в системе ГИС ГМП (Государственная информационная система о государственных и муниципальных платежах), где инспектор может ее увидеть. При подаче документов рекомендуем все же взять с собой документ, подтверждающий оплату госпошлины.

С 1 января 2019 года оплачивать госпошлину за регистрацию не требуется, если документы подписаны усиленной электронно-цифровой подписью и подаются в электронном виде через сайт ФНС или портал Госуслуг. Так же можно не платить госпошлину, если подавать документы через МФЦ и нотариуса, там документы должны будут преобразовать в электронный вид.

Важно! Если вам выдали отказ в регистрации ИП, или были допущены ошибки при заполнении квитанции, то денежные средства не возвращаются.

5. Копия паспорта

Нужны копии всех заполненных страниц паспорта, хотя практика показывает, что в большинстве случаев требуют 2-3 стр. и страницу с последним штампом регистрации. Если указана временная регистрация, то необходима ксерокопия листа с временной регистрацией. Подавая документы лично, верность копии паспорта проверяет инспектор ФНС или сотрудник МФЦ при вас. Он сверяет данные копии с оригиналом документа. При отправлении документов почтой или оформлении ИП доверенным лицом, вам потребуется заверить копию документа, удостоверяющего личность, у нотариуса.

Получите документы на открытие ИП бесплатно

Не надо изучать многостраничные инструкции, достаточно внести персональную информацию в форму, остальное программа сделает автоматически. В результате вы получите полный пакет документов для открытия ИП и инструкцию по подаче.

Р21001 регистрация ИП eRegistrator.ru

Форма заявления и другие документы для регистрации ИП
Полный перечень необходимых документов для самостоятельной регистрации ИП с примерами, образцами, а также возможностью заполнения онлайн на сайте eRegistrator. далее…

Количество показов: 2674

Шевелев Иван, г. Москва
Рекомендую друзьям! Читать далее далее…

Количество показов: 2408

Как открыть ИП?
Как открыть ИП? Какие документы нужны для получения статуса индивидуального предпринимателя? Ответы на эти вопросы далее…

Количество показов: 1696

Алексей Ростов-на-Дону
Отличный сервис! далее…

Количество показов: 2252

Государственная регистрация индивидуального предпринимателя. Как самостоятельно зарегистрировать ИП? Видео-инструкция
Государственная регистрация индивидуального предпринимателя. Как самостоятельно зарегистрировать ИП? Смотрите видео-инструкцию далее…

Количество показов: 1644

Пошаговая инструкция по самостоятельной регистрации ИП
Как самостоятельно зарегистрировать ИП онлайн? Какие документы нужны для регистрации? Как выбрать режим налогообложения? Ответы на эти вопросы далее…

Количество показов: 2702

Плюсы ИП: почему оформить статус индивидуального предпринимателя лучше, чем зарегистрировать ООО?
Почему открыть ИП лучше, чем зарегистрировать ООО? В чем преимущества регистрации индивидуального предпринимателя? Ответы на эти вопросы далее…

Количество показов: 2520

Нужен ли ИП устав или какой-либо другой учредительный документ?
Насколько индивидуальному предпринимателю нужен устав при регистрации, читайте далее. ..

Количество показов: 3878

Может ли ИП быть учредителем ООО или работать в нем?
О том, может ли ИП стать учредителем или работником ООО читайте далее…

Количество показов: 8097

Нужна ли ИП печать? Может ли индивидуальный предприниматель работать без печати?
О том, обязательно ли ИП оформлять печать читайте далее…

Количество показов: 2137

Раздел

1 — 10 из 13

Начало | Пред. |

1

2
|

След. |
Конец

| Все

пошаговая инструкция, что нужно, сколько стоит — Жиза

Законы

Я и мой друг регистрировали ИП. Я живу и прописан в Тюмени, поэтому подавал документы в налоговую лично. Кирилл тоже живет в Тюмени, но прописан в Ханты-Мансийске. Чтобы не отпрашиваться с работы и не мотаться домой, он открыл ИП удаленно через «Госуслуги». Рассказываю про оба варианта: как открыться, какие документы нужны, сколько времени и денег потратите.

• Автор: Женя Лепехин
• Иллюстратор: Иван Might

Подготовьтесь к подаче документов

Сделайте копию или сканы паспорта

Для регистрации ИП нужен паспорт РФ или национальный паспорт вашей страны, если вы иностранец.

Если подаете документы лично, сделайте копии двух страниц — с фотографией и с пропиской. Их вы сдадите в налоговую. Оригинал тоже возьмите с собой — сотрудник налоговой заверит по нему копии и вернет его вам. Если подаете заявление через интернет, отсканируйте все страницы.

Выберите ОКВЭДы

ОКВЭД — общероссийский классификатор видов экономической деятельности. Он нужен, чтобы государство видело, чем вы занимаетесь. Каждый код обозначает определенный вид деятельности. Например, 70.10.2 — управление холдинг-компаниями, 74.30 — письменный и устный перевод, а 15.11.1 — выделка и крашение меха. Если вы открыли интернет-магазин без ОКВЭДа 52.61.2, вам сделают предупреждение или оштрафуют на 5000 ₽.

Выбрать ОКВЭДы лучше заранее: они пригодятся, когда будете заполнять заявление Р21001. Вы можете выбрать сколько угодно кодов, но всегда один будет основным, а остальные — дополнительными. Все коды есть в классификаторе.

Дополнительных кодов лучше набрать побольше. Чтобы добавить новый код после регистрации, придется заново подать заявление в налоговую и ждать пять дней. Если впишете дополнительные коды заранее, не упустите интересный заказ из-за того, что у вас нет нужного кода.

Я редактор, код основной деятельности 90. 03 — деятельность в области художественного творчества. К нему я подобрал 13 дополнительных кодов в сфере дизайна, перевода и маркетинга

Выберите систему налогообложения

У ИП есть несколько систем налогообложения. Самые распространенные — ОСНО и УСН.

ОСНО — общая система налогообложения. По ней ИП обязан платить НДС — 18%, НДФЛ — 13%, и налог на имущество — до 2,2%.

УСН — упрощенная система налогообложения. По ней предприниматель платит только один налог: 6% от доходов или от 5 до 15% от разницы между доходами и расходами.

Если при регистрации вы не указали другую систему налогообложения, то налоговая поставит вас на ОСНО. Ее можно поменять в течение 30 дней с даты регистрации. Отчитываться по ОСНО за этот период не нужно: налоги будут начисляться по УСН, как будто вы работали по ней с самого начала.

Проконсультируйтесь с бухгалтером и определитесь с системой налогообложения до регистрации ИП. Если для вас выгоднее упрощенка, то лучше подать заявление о переходе сразу.

Как заполнить заявление о переходе на упрощенку

1. Скачайте форму 26.2-1 в формате PDF и заполните по образцу.
2. В полях ИНН и КПП поставьте прочерки (дефисы).
3. Узнайте код вашей налоговой на сайте — он состоит из четырех цифр.
4. В поле «Признак налогоплательщика» поставьте цифру «1».
5. Укажите фамилию, имя и отчество. Во все пустые клетки поставьте прочерки (дефисы).
6. Напротив пункта «переходит на упрощенную систему налогообложения» поставьте цифру «2». В следующей строке во всех полях поставьте прочерки, так как вы переходите на УСН с даты постановки на учет.
7. Напротив пункта «в качестве налогообложения выбраны» поставьте цифру: «1» — доходы, «2» — «доходы минус расходы».
8. Укажите год подачи заявления.
9. Поставьте цифру «1» если подаете заявление сами, и цифру «2», если через представителя.
10. Снова укажите фамилию, имя, отчество. В пустые клетки поставьте прочерки.
11. Укажите номер телефона и дату подачи заявления. Подпись не ставьте, лучше сделать это в налоговой перед подачей.
12. Поля в правом нижнем углу оставьте пустыми.

Если вы переходите на упрощенку после того, как зарегистрировали ИП, некоторые моменты в заполнении будут отличаться. Внимательно прочитайте сноски внизу формы. Подробные правила оформления читайте в статье Regberry или посмотрите видео.

Оплатите госпошлину

Для регистрации ИП необходимо заплатить пошлину 800 ₽. Это можно сделать в любом банке или на сайте налоговой.

В банке потребуются реквизиты местной налоговой. Найти их можно на сайте ИФНС с помощью специальной формы. Для этого кликните на верхнее поле «Адрес».

В появившемся окне укажите адрес прописки. После заполнения нажмите «ОК».

Сервис определит номер отделения налоговой, к которому вы относитесь. Нажмите «Далее».

Появится список реквизитов вашей налоговой — вам нужны только реквизиты для регистрации ИП. Перепишите их и возьмите с собой в банк. Оплатите пошлину и сохраните квитанцию: ее вы сдадите в налоговую.

Если оплачиваете пошлину через интернет, платите на сайте налоговой:

1. Заполните форму и обязательно укажите ИНН — без него не получится оплатить онлайн.
2. В качестве способа оплаты выберите «Безналичный расчет». Откроется окно с банками и денежными сервисами.
3. Выберите оплату через «Госуслуги».
4. После оплаты на почту вам придет электронная квитанция с печатью. Распечатайте ее и сохраните.

Я оплатил госпошлину на сайте налоговой и распечатал дома на принтере. Идти в Сбербанк не обязательно

Выберите банк, в котором откроете расчетный счет

По закону ИП может работать без расчетного счета, но по факту без него не обойтись. Расчетный счет нужен для безналичных операций более 100 000 ₽, подключения онлайн-кассы, создания интернет-магазина.

Есть несколько банков, у которых основное направление — работа с предпринимателями: Альфа-Банк, Модульбанк, Тинькофф и Точка. Чтобы выбрать банк, сравните тарифы по основным параметрам.

• Стоимость обслуживания счета в месяц. Обычно для новых ИП у банков есть специальные предложения и отдельные тарифы. Например, Тинькофф дает молодым ИП полгода бесплатного обслуживания, а Точка — три месяца. За это время вы можете оценить работу банка, понять, насколько вам подходят условия тарифа.
• Количество или сумма снятий в месяц. Изучите свои привычки и поймите, как вы чаще рассчитываетесь: наличными или картой. Обычно на эконом-тарифах банки предлагают до 5 снятий в месяц бесплатно — этого вполне достаточно для начинающего предпринимателя.
• Количество переводов другим ИП и юрлицам. Обычно за денежный перевод клиенту того же банка комиссии нет. Но если вы планируете оплачивать услуги предпринимателей, которые обслуживаются в других банках, изучите условия комиссии за переводы.
• Процент за поступление средств. Некоторые банки берут комиссию не за вывод средств, а за поступления. В таком случае, оцените, сколько примерно денег будет поступать на ваш счет и какой процент придется отдать банку.
• Комиссия за эквайринг. Если планируете принимать платежи по картам, ознакомьтесь с комиссией за эквайринг. Для розничной торговли нужен торговый эквайринг: в этом случае выгоднее выбрать пакет обслуживания с фиксированным платежом. Для интернет-магазинов подходят тарифы с комиссией за каждую операцию. Размер комиссии зависит от вида и источника операции.
• Комиссия за валютные операции. Если работаете с зарубежными компаниями и получаете переводы из-за границы, изучите условия валютных переводов.
• Документы в электронном виде. Это для тех, кто регистрировал ИП удаленно. Не все банки принимают документы в электронном виде. Например, Тинькофф и Точка принимают, а остальные — не факт. Уточните, в каком виде банк принимает документы для открытия расчетного счета.

Так как я почти никогда не перевожу деньги другим физлицам и предпочитаю расплачиваться картой, для меня было важно, чтобы поступления на счет были без комиссии. Эквайринг, валютные операции меня не волновали, а пяти бесплатных снятий при обороте в 100 000 ₽ в месяц вполне достаточно.

Если живете в городе прописки — подайте документы лично

Самый быстрый способ открыть ИП — подать документы в налоговую лично. Для этого вы должны заполнить форму Р21001 и записаться в налоговую. Можно подать заявление и по интернету, но тогда вы потратите дополнительные 1000 ₽ на электронную подпись. Распечатать заявление и отнести его в налоговую — дешевле и быстрее.

Заполните заявление Р21001

Заполнить заявление о регистрации ИП можно на «Госуслугах» или самостоятельно на компьютере. Можно заполнить форму и от руки, но лучше этого не делать. Заявление будет читать компьютер, и если он не поймет хотя бы одну букву — придется подавать всё заново.

Чтобы заполнить заявление через «Госуслуги»:

Скачайте заполненное заявление, распечатайте и возьмите в налоговую.

Если у вас плохой интернет, скачайте заявление в PDF или в XLS на компьютер и заполните по образцу.

Лист № 1

Укажите фамилию, имя, отчество и место рождения так же, как в паспорте. Если в паспорте стоит буква «ё», пишите «ё» в заявлении, если слово «город» написано целиком, пишите его в форме целиком, не сокращайте. Все точки и запятые ставьте в отдельные клетки, а между словами оставляйте одну пустую клетку.

Лист № 2

Укажите текущий адрес регистрации. Четыре цифры серии паспорта разделите пробелами по две. Номер паспорта также отделите пустой клеткой.

Лист № 3

Укажите выбранные ОКВЭДы. Пишите номер каждого ОКВЭДа с первой клетки.

Лист № 4

Укажите почту и контактный номер телефона.

Выберите свой регион и отделение налоговой, к которой привязан ваш адрес прописки. Это то же самое отделение, куда вы оплатили госпошлину.

Чтобы записаться на сайте налоговой, перейдите в раздел «Онлайн-запись на прием в инспекцию» и заполните форму.

В обоих случаях на почту вам придет подтверждение — распечатайте его и возьмите с собой. В подтверждении будет указана дата, время и адрес отделения.

В назначенный день приходите в налоговую. Возьмите с собой заполненное заявление Р21001, копии паспорта, квитанцию об оплате госпошлины. Если собираетесь переходить на упрощенку, возьмите заполненное заявление о переходе. Приходите заранее. Если опоздаете хотя бы на 10 минут, запись сгорит. Придется или занимать живую очередь, или записываться снова.

Получите выписку из ЕГРИП

Приняв документы, специалист налоговой назначит день, когда вы получите выписку из ЕГРИП — единого государственного реестра индивидуальных предпринимателей. Это лист формата А4, где перечислена вся информация о вашем ИП: фамилия, имя, отчество, основной государственный регистрационный номер (ОГРНИП), дата регистрации, адрес прописки, отделение налоговой для отчетности, виды деятельности.

До 1 января 2017 года еще выдавали свидетельство о постановке на налоговый учет. Вместо него вам дадут уведомление о постановке на учет в налоговом органе.

Так выглядит выписка из ЕГРИП

Уведомление о постановке на учет физического лица в налоговом органе — основной документ ИП. Он подтверждает, что вы легализовали свой бизнес

Если прописаны в другом городе — подайте документы удаленно

Мой друг Кирилл живет в Тюмени, а прописан в Ханты-Мансийске. Пять лет назад он потратил бы пять дней, чтобы приехать в Ханты-Мансийск и зарегистрироваться там. Сегодня открыть ИП можно удаленно. Это займет пять-шесть дней, но избавит от поездок, походов в налоговую, сэкономит деньги и нервы.

Сделайте электронную подпись

Электронную подпись для физических лиц можно заказать в СКБ Контур за 1000 ₽ на 1 год. Она пригодится не только для подачи документов, но и для подписания счетов, договоров и актов.

Чтобы получить электронную подпись, нужно отправить заявку. Вам пришлют бланк заявления. Заполните его, подпишите и отсканируйте. Вышлите сканы заявления, паспорта, СНИЛС и ИНН в ответном письме. После этого придите в ближайший пункт подтверждения электронных подписей. Список пунктов есть на сайте СКБ Контур. Через 2-3 дня получите электронную подпись. Уточните пин-код своей подписи, он понадобится для отправки документов в налоговую.

Заказать электронную подпись вы также можете в одном из авторизованных центров, которые указаны на специальном сайте Госуслуг. Уточните, что вам нужна именно усиленная квалифицированная электронная подпись — УКЭП.

Заполните анкету на «Госуслугах»

Если у вас еще нет аккаунта на «Госуслугах», зарегистрируйтесь, заполните профиль и повысьте учетную запись до статуса «Подтвержденная».

Сервис сам cформирует заявление Р21001 и проверит данные.

Вставьте в ноутбук флешку с электронной подписью и нажмите кнопку «Подписать документы». После этого оплатите госпошлину тут же на сайте «Госуслуг» и отправьте документы в налоговую.

Получите электронные версии документов

В течение нескольких часов вам на почту придет подтверждение о том, что налоговая получила ваши документы. А через три рабочих дня на почту и в личный кабинет «Госуслуг» придет архив с документами о регистрации ИП. В архиве вы найдете уведомление о постановке на учет в налоговой и выписку из ЕГРИПа, подписанные цифровой подписью.

Вывод

Зарегистрировать ИП можно двумя способами: лично и удаленно.

Если живете в городе прописки, подайте документы в налоговую лично.

1. Документы можно подготовить за два-три часа.
2. Придется потратить 800 ₽ на госпошлину и 20 ₽ на ксерокопию паспорта.
3. Запишитесь в налоговую на удобное время. Можно даже в субботу. Придите вовремя и сдайте документы — это займет 10–15 минут.
4. Заберите документы о регистрации из налоговой через 3 дня. Дату и время сообщают в день подачи.
5. Откройте расчетный счет и начните работать.

Если прописаны в другом городе, удобнее и выгоднее подать документы онлайн.

1. Вам не придется отпрашиваться с работы и тратить деньги на поезд или самолет.
2. Потратите 560 ₽ на госпошлину и 1000 ₽ на электронную подпись.
3. Отсканируйте все документы, переведите в формат .tiff и соедините в многостраничный документ.
4. Сформируйте архив с документами, подпишите его электронной подписью и отправьте в налоговую.
5. Подождите 3 дня и получите на электронную почту документы о регистрации ИП.
6. Откройте расчетный счет и начните работать.

Опубликовали 26 октября 2018 года

Твитнуть

Поделиться

Поделиться

Отправить

IP-адресов, используемых Azure Monitor — Azure Monitor

• 000Z» data-article-date-source=»ms.date»> 27.01.2020
• 6 минут на чтение

В этой статье

Azure Monitor использует несколько IP-адресов. Azure Monitor состоит из основных показателей платформы и журнала в дополнение к Log Analytics и Application Insights. Вам может потребоваться знать эти адреса, если приложение или инфраструктура, которые вы отслеживаете, размещены за брандмауэром.

Примечание

Хотя эти адреса статичны, возможно, нам придется время от времени их менять. Весь трафик Application Insights представляет собой исходящий трафик, за исключением мониторинга доступности и веб-перехватчиков, для которых требуются правила брандмауэра для входящего трафика.

Подсказка

Вы можете использовать теги сетевых служб Azure для управления доступом, если вы используете группы безопасности сети Azure. Если вы управляете доступом к гибридным / локальным ресурсам, вы можете загрузить эквивалентные списки IP-адресов в виде файлов JSON, которые обновляются каждую неделю:. Чтобы охватить все исключения в этой статье, вам потребуется использовать теги службы: ActionGroup , ApplicationInsightsAvailability и AzureMonitor .

Кроме того, вы можете подписаться на эту страницу как на RSS-канал, добавив https://github.com/MicrosoftDocs/azure-docs/commit/master/articles/azure-monitor/app/ip-addresses.md.atom в свой любимый читатель RSS / ATOM, чтобы получать уведомления о последних изменениях.

Исходящие порты

Вам необходимо открыть некоторые исходящие порты в брандмауэре вашего сервера, чтобы разрешить Application Insights SDK и / или Status Monitor отправлять данные на портал:

Назначение	URL	IP	Порты
Телеметрия	dc.applicationinsights.azure.com dc.applicationinsights.microsoft.com dc.services.visualstudio.com * .in.applicationinsights.azure.com	40. 114.241.141 104.45.136.42 40.84.189.107 168.63.242.221 52.167.221.184 52.169.64.244 40.85.218.175 104.211.92.54 52.175.198.74 51.140.6.23 40.71.12.2 .108.165 13.70.72.233 20.44.8.7 13.86.218.248 40.79.138.41 52.231.18.241 13.75.38.7 102.133.155.50 52.162.110.67 191.233.204.248 13.69.66.140 13.77.52.29 51.107.59.180 40.71.12.235 20.44.8.10 40.71.13.169 13.654.141.156 13.69.65.23 20.44.17.0 20.36.114.207 51.116.155.246 51.107.155.178 51.140.212.64 13.86.218.255 20.37.74.240 65.52.250.236 13.69.229.240 52.236.186.76.2107 52.236.186.2107 52.236.186.2107 12.237 40.78.229.32 40.78.229.33 51.105.67.161 40.124.64.192 20.44.12.194 20.189.172.0 13.69.106.208 40.78.253.199 40.78.253.198 40.78.243.19	443
Поток метрик в реальном времени	live. applicationinsights.azure.com rt.applicationinsights.microsoft.com rt.services.visualstudio.com	23.96.28.38 13.92.40.198 40.112.49.101 40.117.80.207 157.55.177.6 104.44.140.84 104.215.81.124 23.100.122.113	443

Монитор состояния

Конфигурация монитора состояния — требуется только при внесении изменений.

Назначение	URL	IP	Порты
Конфигурация	management.core.windows.net		443
Конфигурация	управление.azure.com		443
Конфигурация	логин.windows.net		443
Конфигурация	login.microsoftonline.com		443
Конфигурация	secure. aadcdn.microsoftonline-p.com		443
Конфигурация	авт.gfx.ms		443
Конфигурация	login.live.com		443
Установка	globalcdn.nuget.org , packages.nuget.org , api.nuget.org/v3/index.json nuget.org , api.nuget.org , dc.services.vsallin .net		443

Тесты доступности

Это список адресов, с которых запускаются веб-тесты доступности.Если вы хотите запускать веб-тесты в своем приложении, но ваш веб-сервер ограничен обслуживанием определенных клиентов, вам нужно будет разрешить входящий трафик с наших серверов тестирования доступности.

Сервисный ярлык

Если вы используете группы безопасности сети Azure, просто добавьте правило для входящего порта , чтобы разрешить трафик из тестов доступности Application Insights, выбрав Service Tag в качестве источника и ApplicationInsightsAvailability в качестве тега службы источника .

Открыть порты 80 (http) и 443 (https) для входящего трафика с этих адресов (IP-адреса сгруппированы по расположению):

IP-адресов

Если вы ищете фактические IP-адреса, чтобы добавить их в список разрешенных IP-адресов в вашем брандмауэре, загрузите файл JSON с описанием диапазонов IP-адресов Azure. Эти файлы содержат самую свежую информацию. Для общедоступного облака Azure вы также можете найти диапазоны IP-адресов по местоположению, используя приведенную ниже таблицу.

После загрузки соответствующего файла откройте его в своем любимом текстовом редакторе и выполните поиск по запросу «ApplicationInsightsAvailability», чтобы перейти прямо к разделу файла, описывающему тег службы для проверки доступности.

Примечание

Эти адреса перечислены с использованием нотации бесклассовой междоменной маршрутизации (CIDR). Это означает, что запись типа 51.144.56.112/28 эквивалентна 16 IP-адресам, начиная с 51.144.56.112 и заканчивая 51.144.56.127 .

Общедоступное облако Azure

Загрузите IP-адреса общедоступного облака.

Azure, облако для правительства США

Загрузите IP-адреса правительственного облака.

Azure, Китайское облако

Загрузите IP-адреса China Cloud.

Адреса, сгруппированные по расположению (публичное облако Azure)

  Восточная Австралия
20.40.124.176/28
20.40.124.240/28
20.40.125.80/28

Южная Бразилия
191.233.26.176/28
191.233.26.128/28
191.233.26.64/28

Центральная Франция (ранее Южная Франция)
20.40.129.96 / 28
20.40.129.112/28
20.40.129.128/28
20.40.129.144/28

Центральная Франция
20.40.129.32/28
20.40.129.48/28
20.40.129.64/28
20.40.129.80/28

Восточная Азия
52.229.216.48/28
52.229.216.64/28
52.229.216.80/28

Северная Европа
52.158.28.64/28
52.158.28.80/28
52.158.28.96/28
52.158.28.112/28

Восточная Япония
52.140.232.160/28
52.140.232.176/28
52.140.232.192/28

Западная Европа
51.144.56.96/28
51.144.56.112/28
51.144.56.128/28
51.144.56.144/28
51.144.56.160/28
51.144.56.176/28

Юг Великобритании
51.105.9.128/28
51.105.9.144/28
51.105.9.160 / 28

UK West
20.40.104.96/28
20.40.104.112/28
20.40.104.128/28
20.40.104.144/28

Юго-Восточная Азия
52.139.250.96/28
52.139.250.112/28
52.139.250.128/28
52.139.250.144/28

Запад США
40.91.82.48/28
40.91.82.64/28
40.91.82.80/28
40.91.82.96/28
40.91.82.112/28
40.91.82.128/28

Центральная часть США
13.86.97.224/28
13.86.97.240/28
13.86.98.48/28
13.86.98.0/28
13.86.98.16/28
13.86.98.64/28

Северо-Центральный США
23.100.224.16/28
23.100.224.32/28
23.100.224.48/28
23.100.224.64/28
23.100.224.80/28
23.100.224.96/28
23.100.224.112 / 28
23.100.225.0/28

Центрально-южная часть США
20.45.5.160/28
20.45.5.176/28
20.45.5.192/28
20.45.5.208/28
20.45.5.224/28
20.45.5.240/28

Восток США
20.42.35.32/28
20.42.35.64/28
20.42.35.80/28
20.42.35.96/28
20.42.35.112/28
20.42.35.128/28

  

Discovery API

Вы также можете захотеть программным образом получить текущий список сервисных тегов вместе с деталями диапазона IP-адресов.

Application Insights и API-интерфейсы Log Analytics

Application Insights Analytics

Примечание. Домен * .applicationinsights.io принадлежит группе Application Insights.

Портал Log Analytics

Примечание. Домен * .loganalytics.io принадлежит команде Log Analytics.

Application Insights Расширение портала Azure

Пакеты SDK Application Insights

Веб-перехватчики группы действий

Вы можете запросить список IP-адресов, используемых группами действий, с помощью команды Get-AzNetworkServiceTag PowerShell.

Метка обслуживания групп действий

Управление изменениями исходных IP-адресов может занять довольно много времени. Использование меток обслуживания избавляет от необходимости обновлять конфигурацию. Тег службы представляет собой группу префиксов IP-адресов из данной службы Azure. Microsoft управляет IP-адресами и автоматически обновляет служебный тег при изменении адресов, избавляя от необходимости обновлять правила сетевой безопасности для группы действий.

1. На портале Azure в разделе Службы Azure найдите Network Security Group .

2. Нажмите Добавить и создайте группу безопасности сети.

   1. Добавьте имя группы ресурсов, а затем введите Сведения об экземпляре .
   2. Щелкните Review + Create , а затем щелкните Create .

3. Перейдите в группу ресурсов и щелкните по группе сетевой безопасности , которую вы создали.

   1. Выберите Правила безопасности для входящего трафика .
   2. Нажмите Добавить .

4. На правой панели откроется новое окно.

   1. Выберите источник: Сервисный код
   2. Метка обслуживания источника: ActionGroup
   3. Щелкните Добавить .

Профилировщик

Отладчик моментальных снимков

Примечание

Профилировщик

и отладчик моментальных снимков используют один и тот же набор IP-адресов.

Документация Raspberry Pi — удаленный доступ

Вы можете использовать SSH для подключения к Raspberry Pi с рабочего стола Linux, другого Raspberry Pi или с Apple Mac без установки дополнительного программного обеспечения.

Откройте окно терминала на своем компьютере, заменив на IP-адрес Raspberry Pi, к которому вы пытаетесь подключиться,

Когда соединение работает, вы увидите предупреждение о безопасности / подлинности.Введите да , чтобы продолжить. Вы увидите это предупреждение только при первом подключении.

Далее вам будет предложено ввести пароль для входа в систему pi : пароль по умолчанию в ОС Raspberry Pi — raspberry .

По соображениям безопасности настоятельно рекомендуется изменить пароль по умолчанию на Raspberry Pi (также вы не можете войти через ssh, если пароль пустой). Теперь вы должны увидеть приглашение Raspberry Pi, которое будет идентично тому, которое находится на самом Raspberry Pi.

Если вы настроили другого пользователя на Raspberry Pi, вы можете подключиться к нему таким же образом, заменив имя пользователя своим собственным, например [email protected]

Теперь вы подключены к Raspberry Pi удаленно и можете выполнять команды.

Переадресация X11

Вы также можете перенаправить свой X-сеанс через SSH, чтобы разрешить использование графических приложений, используя флаг -Y :

Теперь вы находитесь в командной строке, как и раньше, но у вас есть возможность открывать графические окна. Например, набрав:

откроет редактор Geany в окне на вашем локальном рабочем столе.

Требования к портам SolarWinds

Системные требования для Adobe Sign

Core Adobe Sign

gps.na1.adobesign.com

gps.adobesign.com

gps.na1.echosign.com

GPS.echosign.com

secure.adobesign.com

secure.na1.adobesign.com

api.na1.adobesign.com

secure.na2.adobesign.com

api.na2.adobesign.com

secure.na3.adobesign.com

api.na3.adobesign.com

secure.na4.adobesign.com

api.na4.adobesign.com

secure.eu1.adobesign.com

api.eu1.adobesign.com

secure.eu2.adobesign.com

api.eu2.adobesign.com

secure.au1.adobesign.com

api.au1.adobesign.com

secure.jp1.adobesign.com

api.jp1.adobesign.com

secure.in1.adobesign.com

api.in1.adobesign.com

secure.adobesigncdn.com

static.adobesigncdn.com

secure.na1.adobesigncdn.com

secure.na2.adobesigncdn.com

secure.na3.adobesigncdn.com

secure.na4.adobesigncdn.com

безопасный.eu1.adobesigncdn.com

secure.eu2.adobesigncdn.com

secure.au1.adobesigncdn.com

secure.jp1.adobesigncdn.com

secure.in1.adobesigncdn.com

secure.echocdn.com

static.echocdn.com

secure.na1.echocdn.com

secure.na2.echocdn.com

secure.na3.echocdn.com

secure.na4.echocdn.com

secure.eu1.echocdn.com

secure.eu2.echocdn.com

безопасный.au1.echocdn.com

secure.jp1.echocdn.com

secure.in1.echocdn.com

secure.echosign.com

secure.na1.echosign.com

api.na1.echosign.com

secure.na2.echosign.com

api.na2.echosign.com

secure.na3.echosign.com

api.na3.echosign.com

secure.na4.echosign.com

api.na4.echosign.com

secure.eu1.echosign.com

api.eu1.echosign.com

безопасный.eu2.echosign.com

api.eu2.echosign.com

secure.au1.echosign.com

api.au1.echosign.com

secure.jp1.echosign.com

api.jp1.echosign.com

secure.in1.echosign.com

api.in1.echosign.com

fonts.googleapis.com (добавлено 07.12.2020)

fonts.gstatic.com (добавлено 07.12.2020)

p.typekit.net

p13n.adobe.io

use.typekit.net

www.adobe.com

Облако документов

акробат.adobe.com

cloud.acrobat.com

files.acrobat.com

na1.documents.adobe.com

api.na1.documents.adobe.com

na2.documents.adobe.com

api.na2.documents.adobe.com

na3.documents.adobe.com

api.na3.documents.adobe.com

na4.documents.adobe.com

api.na4.documents.adobe.com

eu1.documents.adobe.com

api.eu1.documents.adobe.com

eu2.documents.adobe.com

api.eu2.documents.adobe.com

au1.documents.adobe.com

api.au1.documents.adobe.com

jp1.documents.adobe.com

api.jp1.documents.adobe.com

in1.documents.adobe.com

api.in1.documents.adobe.com

acroipm2.adobe.com

adobesearch-sec-uss.adobe.io

ans.oobesaas.adobe.com

byof.adobe.io

cc-api-behance.adobe.io

cc-api-data.adobe.io

cc-collab.adobe.io

ccext.adobe.io

commerce.adobe.com

dc-api.adobecontent.io

documentcloud.adobe.com

geo.adobe.com

geo2.adobe.com

notify.adobe.io

pdfnow.adobe.io

pgc.adobe.io

prod.acp.adobeoobe.com

send.acrobat.com

server.messaging.adobe.com

ui.messaging.adobe.com

Идентификация и вход

adobeid-na1.services.adobe.com

adobeid.services.adobe.com

auth.services.adobe.com

federatedid-na1.services.adobe.com

na1e-acc.services.adobe.com

согласноadobeoobe.com

accounts.adobe.com

acp-ss-ue1.adobe.io

api.account.adobe.com

ids-proxy.account.adobe.com (Добавлено 01.04.2021)

api.typekit.com

ars.oobesaas.adobe.com

assets.adobedtm.com

cdn-ffc.oobesaas.adobe.com

data.typekit.net

ffc-static-cdn.oobesaas.adobe.com

fonts.adobe.com

ims-na1.adobelogin.com

ims-prod06.adobelogin.com

ims-prod07.adobelogin.com

lcs-cops.adobe.io

lcs-entitlement.adobe.io

lcs-robs.adobe.io

lcs-ulecs.adobe.io

licensing.adobe.com

lm.licenses.adobe.com

mir-s3-cdn-cf.behance.net

oobe.adobe.com

polka.typekit.com

prod-rel-ffc-ccm.oobesaas.adobe.com

prod.adobeccstatic.com

public.adobecc.com

scss.adobesc.com

state.typekit.net

static.adobelogin.com

wwwimages.adobe.com

wwwimages2.adobe.com

Страницы администрирования и справки (консоль администратора и helpx)

adminconsole.adobe.com

бит / с-ил.adobe.io

helpx.adobe.com

Пакет Acrobat загружается из консоли администратора

s3.amazonaws.com/tron-ffc-icons-prod/

tron-prod-customized-user-packages.s3.amazonaws.com

Аналитика и отслеживание

esp.aptrinsic.com (добавлено 07.12.2020)

web-sdk.aptrinsic.com (добавлено 07.12.2020)

app-be.aptrinsic.com (добавлено 07.12.2020)

js-агент.newrelic.com

cdn.cookielaw.org

geolocation.onetrust.com

ec.walkme.com

sstats.adobe.com

adobe.tt.omtrdc.net

privacyportal.onetrust.com

bam-cell.nr-data.net:443

bam.nr-data.net

cdn.tt.omtrdc.net

adobemobiledev.demdex.net

api.demandbase.com

см.everesttech.net

adobe.demdex.net

adobedc.demdex.net (добавлено 01.04.2021)

Интеграции:

echosignforsalesforce.com

adobesignforsalesforce.com

Песочница:

gps.echosignsandbox.com

gps.na1.echosignsandbox.com

GPS. adobesignsandbox.com

gps.na1.adobesignsandbox.com

secure.adobesignsandbox.com

secure.echosignsandbox.com

secure.na1.adobesignsandbox.com

secure.na1.adobesignsandboxcdn.com

secure.adobesignsandboxcdn.com

api.na1.adobesignsandbox.com

secure.na1.documentssandbox.adobe.com

documentssandbox.adobe.com

na1.documentssandbox.adobe.com

api.na1.documentssandbox.adobe.com

secure.na1.echocdnsandbox.com

secure.echocdnsandbox.com

secure.na1.echosignsandbox.com

api.na1.echosignsandbox.com

сетей | Документация по новой реликвии

Этот список актуален. Последнее обновление 31 мая 2021 г.

Это список сетей, IP-адресов, доменов, портов и конечных точек, используемых клиентами или агентами API для связи с New Relic. TLS требуется для всех доменов.

Ваш браузер должен иметь возможность связываться с несколькими доменами, чтобы New Relic One работал правильно. См. Список доменов, которые должны быть разрешены через ваш брандмауэр, в разделе «Домены, ориентированные на пользователя».

TLS-шифрование

Для обеспечения безопасности данных для наших клиентов и соответствия FedRAMP и другим стандартам шифрования данных, безопасность транспортного уровня (TLS) требуется для всех доменов.Наш предпочтительный протокол для всех доменов — TLS 1.2. Для получения дополнительной информации см. Сообщение New Relic Explorers Hub о TLS 1.2.

Кроме того, TLS 1.2 требуется для большинства доменов, за исключением:

• соединений агента APM
• соединений агента браузера
• API событий

Для будущих обновлений требуемых и поддерживаемых версий протокола следуйте уведомлениям безопасности в Центре исследователей New Relic.

Пользовательские домены

Обновите свой список разрешений, чтобы New Relic мог взаимодействовать с рядом интегральных доменов (перечисленных ниже).Блокировка доменов может вызвать проблемы с отдельными функциями продукта или предотвратить загрузку страниц в целом.

В этот список не входят домены, к которым подключается New Relic, которые могут быть заблокированы без ущерба для использования вами продукта. Он также не распространяется на пакеты Nerdpack или другие функции, которые взаимодействуют с внешними службами, у которых есть дополнительные требования к домену.

Если ваша организация использует брандмауэр, ограничивающий исходящий трафик, убедитесь, что следующие домены добавлены в список разрешенных:

агентов APM

Для повышения производительности сети и безопасность данных, New Relic использует сервис предотвращения CDN и DDoS с большим диапазоном IP-адресов.Агентам New Relic требуется, чтобы ваш брандмауэр разрешал исходящие подключения к следующим сетям и портам.

TLS требуется для всех доменов. Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:

Рекомендация: Использовать порт 443 , защищенный канал для зашифрованного HTTPS-трафика. Некоторые агенты New Relic также предлагают порт 80, незащищенный канал, открытый для всего HTTP-трафика.

Хотя некоторые агенты можно настроить для использования как порта 80, так и порта 443, мы рекомендуем выбрать порт 443 (по умолчанию).Если у вас есть существующая конфигурация, использующая порт 80, вы можете обновить ее, чтобы использовать порт 443, соединение New Relic по умолчанию.

Агент скачивает

TLS требуется для всех доменов. Сервис для download.newrelic.com предоставляется Fastly и может быть изменен без предупреждения. Актуальный список общедоступных IP-адресов для загрузки агента New Relic см. На сайте api.fastly.com/public-ip-list.

Агенты инфраструктуры

Чтобы передавать данные в New Relic, нашему мониторингу инфраструктуры необходим исходящий доступ к этим доменам, сетям и портам.TLS требуется для всех доменов.

Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:

Домены браузера

Помимо IP-адресов для агентов APM, приложения, контролируемые нашими агентами браузера, используют исходящие соединения со следующими доменами.TLS требуется для всех доменов.

Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:

Для учетных записей в регионе США:

• bam.nr-data.net
• js-agent.newrelic.com

Для учетных записей региона ЕС:

• eu01.nr-data.net
• bam.eu01.nr-data.net

Для получения дополнительной информации о доступе к CDN для js-agent.newrelic.com в домен bam.nr-data.net или в один из маяков New Relic, см. Безопасность для мониторинга браузера.

Мобильные домены

Помимо IP-адресов для агентов APM, приложения, контролируемые нашими мобильными агентами, используют исходящие соединения со следующими доменами. TLS требуется для всех доменов.

Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:

Для учетных записей в регионе США:

• mobile-collector.newrelic.com
• mobile-crash.newrelic.com
• mobile-symbol-upload.newrelic.com

Для счетов в регионах ЕС:

• mobile-collector.eu01.nr-data. net
• mobile-crash.eu01.nr-data.net
• mobile-symbol-upload.eu01.nr-data.net

Синтетический монитор в общедоступных местах

Чтобы настроить брандмауэр, чтобы разрешить синтетический мониторы для доступа к отслеживаемому URL, используйте синтетические публичные IP-адреса миньонов.TLS требуется для всех доменов.

Синтетические частные места мониторинга

Синтетические частные миньоны отправляются на конкретную конечную точку в зависимости от региона. Настройте брандмауэр, чтобы разрешить частному миньону доступ к конечной точке или статическим IP-адресам, связанным с конечной точкой. Эти IP-адреса могут измениться в будущем.

TLS требуется для всех доменов. Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:

Оповещения webhooks, api.newrelic.com интеграции

Конечные точки, которые используют api.newrelic.com (например, наш GraphQL API для NerdGraph) и наши веб-перехватчики, созданные New Relic для политик предупреждений, используют IP-адрес из определенных сетевых блоков для региона США или Европейского Союза.TLS требуется для всех адресов в этих блоках.

Сетевые блоки для учетных записей региона США:

Сетевые блоки для учетных записей региона ЕС:

• 158.177.65.64/29
• 159.122.103.184/29
• 161.156.125.32/28

Эти сетевые блоки также применяются к третьему -партийная билетная интеграция.

Дополнительная помощь

Если вам нужна дополнительная помощь, ознакомьтесь со следующими ресурсами поддержки и обучения:

Сеть контейнеров | Документация Docker

Расчетное время чтения: 4 минуты

Тип сети, которую использует контейнер, будь то мост,
оверлей, сеть macvlan или настраиваемая сеть
плагин прозрачен изнутри контейнера.С точки контейнера
вид, у него есть сетевой интерфейс с IP-адресом, шлюз, таблица маршрутизации,
DNS-сервисы и другие сетевые детали (при условии, что контейнер не использует
сетевой драйвер none ). Эта тема касается сетевых проблем со стороны
точка зрения контейнера.

Опубликованные порты

По умолчанию, когда вы создаете или запускаете контейнер с помощью докера , создайте или , запускайте докер ,
он не публикует свои порты для внешнего мира.Чтобы сделать порт доступным
к службам за пределами Docker или к контейнерам Docker, которые не подключены к
сети контейнера используйте флаг --publish или -p . Это создает брандмауэр
правило, которое сопоставляет порт контейнера с портом хоста Docker во внешний мир.
Вот несколько примеров.

IP-адрес и имя хоста

По умолчанию контейнеру назначается IP-адрес для каждой сети Docker.
подключается к. IP-адрес назначается из пула, назначенного
сети, поэтому демон Docker эффективно действует как DHCP-сервер для каждого
контейнер. Каждая сеть также имеет маску подсети и шлюз по умолчанию.

Когда контейнер запускается, он может быть подключен только к одной сети, используя
- сеть . Однако вы можете подключить работающий контейнер к нескольким
сети, использующие сеть докеров , подключаются к сети .Когда вы запускаете контейнер с помощью
- флаг сети , можно указать IP-адрес, назначенный контейнеру на
эта сеть использует флаги --ip или --ip6 .

Когда вы подключаете существующий контейнер к другой сети с помощью
docker network connect , вы можете использовать флаги --ip или --ip6 на этом
команда для указания IP-адреса контейнера в дополнительной сети.

Точно так же имя хоста контейнера по умолчанию является идентификатором контейнера в
Докер.Вы можете переопределить имя хоста, используя --hostname . При подключении к
существующая сеть, использующая docker network connect , вы можете использовать --alias
флаг, чтобы указать дополнительный сетевой псевдоним для контейнера в этой сети.

Службы DNS

По умолчанию контейнер наследует настройки DNS хоста, как определено в
/etc/resolv.conf файл конфигурации. Контейнеры, использующие мост по умолчанию
сети получают копию этого файла, тогда как контейнеры, использующие
настраиваемая сеть
использовать встроенный DNS-сервер Docker, который перенаправляет внешние запросы DNS в DNS.
серверы настроены на хосте.

Пользовательские хосты, определенные в / etc / hosts , не наследуются. Пропустить дополнительных хостов
в свой контейнер, см. добавление записей в файл хостов контейнера
в докере запустите справочную документацию . Вы можете изменить эти настройки на
посуточно.

Прокси-сервер

Если вашему контейнеру необходимо использовать прокси-сервер, см.
Используйте прокси-сервер.

сеть, контейнер, автономный

Глава 48. Использование и настройка firewalld Red Hat Enterprise Linux 8

Межсетевой экран — это способ защитить машины от любого нежелательного трафика извне.Он позволяет пользователям контролировать входящий сетевой трафик на хост-машинах, задав набор правил брандмауэра . Эти правила используются для сортировки входящего трафика и либо блокируют его, либо пропускают.

firewalld — это сервисный демон межсетевого экрана, который предоставляет динамически настраиваемый межсетевой экран на базе хоста с интерфейсом D-Bus. Будучи динамическим, он позволяет создавать, изменять и удалять правила без необходимости перезапускать демон брандмауэра при каждом изменении правил.

firewalld использует концепции зон и сервисов, которые упрощают управление трафиком. Зоны — это предопределенные наборы правил. Сетевые интерфейсы и источники могут быть назначены зоне. Разрешенный трафик зависит от сети, к которой подключен ваш компьютер, и уровня безопасности, назначенного этой сети. Службы брандмауэра — это предопределенные правила, которые охватывают все необходимые настройки, позволяющие разрешить входящий трафик для определенной службы, и применяются в пределах зоны.

Службы используют один или несколько портов или адресов для сетевой связи.Межсетевые экраны фильтруют обмен данными по портам. Чтобы разрешить сетевой трафик для службы, ее порты должны быть открыты. firewalld блокирует весь трафик на портах, которые явно не настроены как открытые. Некоторые зоны, например доверенные, по умолчанию разрешают весь трафик.

Обратите внимание, что firewalld с бэкэндом nftables не поддерживает передачу пользовательских правил nftables в firewalld с использованием параметра --direct .

48.1. Начало работы с

firewalld

В этом разделе представлена ​​информация о firewalld .

48.1.1. Когда использовать firewalld, nftables или iptables

Ниже приводится краткий обзор того, в каком сценарии следует использовать одну из следующих утилит:

• firewalld : используйте утилиту firewalld для простых случаев использования брандмауэра. Утилита проста в использовании и охватывает типичные варианты использования для этих сценариев.
• nftables : используйте утилиту nftables для настройки сложных и критичных к производительности межсетевых экранов, например, для всей сети.
• iptables : Утилита iptables в Red Hat Enterprise Linux использует API ядра nf_tables вместо устаревшей серверной части . API nf_tables обеспечивает обратную совместимость, поэтому сценарии, использующие команды iptables , по-прежнему работают в Red Hat Enterprise Linux.Для новых сценариев межсетевого экрана Red Hat рекомендует использовать nftables .

Чтобы различные службы межсетевого экрана не влияли друг на друга, запустите только одну из них на хосте RHEL и отключите другие службы.

⁠ firewalld можно использовать для разделения сетей на разные зоны в соответствии с уровнем доверия, который пользователь решил наложить на интерфейсы и трафик в этой сети. Соединение может быть только частью одной зоны, но зона может использоваться для многих сетевых соединений.

NetworkManager уведомляет firewalld о зоне интерфейса. Вы можете назначить зоны интерфейсам с помощью:

• NetworkManager
• firewall-config инструмент
• firewall-cmd инструмент командной строки
• Веб-консоль RHEL

Последние три могут редактировать только соответствующие файлы конфигурации NetworkManager .Если вы измените зону интерфейса с помощью веб-консоли, firewall-cmd или firewall-config , запрос перенаправляется на NetworkManager и не обрабатывается ⁠ firewalld .

Предопределенные зоны хранятся в каталоге / usr / lib / firewalld / zone / и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог / etc / firewalld / zone / только после того, как они были изменены.Стандартные настройки предопределенных зон следующие:

блок

Любые входящие сетевые соединения отклоняются сообщением icmp-host -hibited для IPv4 и icmp6-adm -hibited для IPv6 . Возможны только сетевые подключения, инициированные изнутри системы.

дмз

Для компьютеров в вашей демилитаризованной зоне, которые общедоступны с ограниченным доступом к вашей внутренней сети.Принимаются только выбранные входящие соединения.

падение

Все входящие сетевые пакеты отбрасываются без какого-либо уведомления. Возможны только исходящие сетевые подключения.

внешний

Для использования во внешних сетях с включенным маскированием, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, что они не нанесут вред вашему компьютеру. Принимаются только выбранные входящие соединения.

дом

Для использования дома, когда вы больше всего доверяете другим компьютерам в сети.Принимаются только выбранные входящие соединения.

внутренний

Для использования во внутренних сетях, когда вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

общественный

Для использования в общественных местах, где вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

доверенные

Принимаются все сетевые подключения.

рабочий

Для использования на работе, где вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

Одна из этих зон установлена ​​как зона по умолчанию . Когда интерфейсные соединения добавляются к NetworkManager , они назначаются зоне по умолчанию. При установке зона по умолчанию в firewalld устанавливается как общедоступная зона . Зону по умолчанию можно изменить.

Имена сетевых зон должны быть понятными и позволять пользователям быстро принять разумное решение. Чтобы избежать проблем с безопасностью, проверьте конфигурацию зоны по умолчанию и отключите все ненужные службы в соответствии с вашими потребностями и оценками рисков.

Дополнительные ресурсы

• Справочная страница firewalld.zone (5) .

48.1.3. Предопределенные услуги

Служба может быть списком локальных портов, протоколов, исходных портов и мест назначения, а также списком вспомогательных модулей брандмауэра, автоматически загружаемых, если служба включена.Использование сервисов экономит время пользователей, поскольку они могут выполнять несколько задач, таких как открытие портов, определение протоколов, включение пересылки пакетов и многое другое, за один шаг, вместо того, чтобы настраивать все одно за другим.

Параметры конфигурации службы и общая информация о файлах описаны на странице руководства firewalld.service (5) . Службы задаются с помощью отдельных файлов конфигурации XML, которые имеют имена в следующем формате: имя-службы .xml . Имена протоколов предпочтительнее имен служб или приложений в firewalld .

Службы можно добавлять и удалять с помощью графического инструмента firewall-config , firewall-cmd и firewall-offline-cmd .

Кроме того, вы можете редактировать файлы XML в каталоге / etc / firewalld / services / . Если служба не добавляется или не изменяется пользователем, то соответствующий файл XML не найден в / etc / firewalld / services / .Файлы в каталоге / usr / lib / firewalld / services / можно использовать в качестве шаблонов, если вы хотите добавить или изменить службу.

Дополнительные ресурсы

• Справочная страница firewalld.service (5)

48.1.4. Запуск firewalld

Процедура

1. Чтобы запустить firewalld , введите следующую команду как root :

    # systemctl демаскировать firewalld
   # systemctl start firewalld 

2. Чтобы обеспечить автоматический запуск firewalld при запуске системы, введите следующую команду от имени root :

    # systemctl enable firewalld 

48.1.5. Остановка firewalld

Процедура

1. Чтобы остановить firewalld , введите следующую команду как root :

    # systemctl stop firewalld 

2. Чтобы предотвратить автоматический запуск firewalld при запуске системы:

    # systemctl отключить firewalld 

3. Чтобы убедиться, что firewalld не запускается при доступе к интерфейсу firewalld D-Bus , а также, если другие службы требуют firewalld :

    # systemctl маска firewalld 

48.1.6. Проверка постоянной конфигурации firewalld

В определенных ситуациях, например, после ручного редактирования файлов конфигурации firewalld , администраторы хотят проверить правильность изменений. В этом разделе описывается, как проверить постоянную конфигурацию службы firewalld .

Предварительные требования

• Служба firewalld работает.

Процедура

1. Проверьте постоянную конфигурацию службы firewalld :

    # брандмауэр-cmd --check-config
   успех 

   Если постоянная конфигурация действительна, команда возвращает успех .В других случаях команда возвращает ошибку с дополнительной информацией, например следующей:

    # брандмауэр-cmd --check-config
   Ошибка: INVALID_PROTOCOL: 'public.xml': 'tcpx' не из {'tcp' | 'udp' | 'sctp' | 'dccp'} 

48.2. Просмотр текущего состояния и настроек

firewalld

В этом разделе содержится информация о просмотре текущего состояния, разрешенных служб и текущих настроек firewalld .

48.2.1. Просмотр текущего статуса

firewalld

Служба межсетевого экрана firewalld установлена ​​в системе по умолчанию. Используйте интерфейс CLI firewalld , чтобы проверить, что служба запущена.

Процедура

1. Чтобы увидеть статус услуги:

    # firewall-cmd --state 

2. Для получения дополнительной информации о статусе службы используйте подкоманду systemctl status :

    # systemctl status firewalld
   firewalld.service - firewalld - динамический демон межсетевого экрана
      Загружен: загружен (/usr/lib/systemd/system/firewalld.service; включен; цена поставщика
      Активен: активен (работает) с понедельника 18 декабря 2017 г. 16:05:15 CET; 50мин назад
        Документы: человек: firewalld (1)
    Основной PID: 705 (firewalld)
       Задач: 2 (лимит: 4915)
      CGroup: /system.slice/firewalld.service
              └─705 / usr / bin / python3 -Es / usr / sbin / firewalld --nofork --nopid 

48.2.2. Просмотр разрешенных сервисов с помощью графического интерфейса

Чтобы просмотреть список служб с помощью графического инструмента firewall-config , нажмите клавишу Super , чтобы войти в Обзор действий, введите firewall и нажмите Введите .Появится инструмент firewall-config . Теперь вы можете просмотреть список услуг на вкладке Services .

Вы можете запустить графический инструмент настройки брандмауэра из командной строки.

Предварительные требования

• Вы установили пакет firewall-config .

Откроется окно «Конфигурация брандмауэра » . Обратите внимание, что эту команду можно запустить от имени обычного пользователя, но иногда вам предлагается ввести пароль администратора.

48.2.3. Просмотр настроек firewalld с помощью CLI

С помощью клиента CLI можно получить различные представления текущих настроек брандмауэра. Параметр --list-all показывает полный обзор настроек firewalld .

firewalld использует зоны для управления трафиком. Если зона не указана параметром --zone , команда действует в зоне по умолчанию, назначенной активному сетевому интерфейсу и соединению.

Процедура

• Чтобы перечислить всю необходимую информацию для зоны по умолчанию:

   #  firewall-cmd --list-all 
  общественный
    цель: по умолчанию
    icmp-block-инверсия: нет
    интерфейсы:
    источники:
    услуги: ssh dhcpv6-client
    порты:
    протоколы:
    маскарад: нет
    форвард-порты:
    исходные порты:
    icmp-блоки:
    богатые правила: 

• Чтобы указать зону, для которой будут отображаться параметры, добавьте аргумент --zone = имя-зоны в команду firewall-cmd --list-all , например:

   #  firewall-cmd --list-all --zone = home 
  дом
    цель: по умолчанию
    icmp-block-инверсия: нет
    интерфейсы:
    источники:
    услуги: ssh mdns samba-client dhcpv6-client
  ... [обрезано для ясности] 

• Чтобы просмотреть настройки для конкретной информации, такой как службы или порты, используйте конкретную опцию. См. Справочные страницы firewalld или получите список параметров с помощью команды help:

   #  firewall-cmd --help  

• Чтобы узнать, какие службы разрешены в текущей зоне:

   #  firewall-cmd --list-services 
  ssh dhcpv6-клиент 

Перечисление настроек для определенной части с помощью инструмента CLI иногда бывает трудно интерпретировать.Например, вы разрешаете службе SSH и firewalld открывает необходимый порт (22) для службы. Позже, если вы перечисляете разрешенные службы, в списке отображается служба SSH , но если вы перечисляете открытые порты, они не отображаются. Поэтому рекомендуется использовать параметр --list-all , чтобы убедиться, что вы получаете полную информацию.

48,3. Управление сетевым трафиком с помощью

firewalld

В этом разделе содержится информация об управлении сетевым трафиком с помощью firewalld .

48.3.1. Отключение всего трафика в случае аварии с помощью CLI

В экстренной ситуации, например, при системной атаке, можно отключить весь сетевой трафик и отсечь злоумышленника.

Процедура

1. Чтобы немедленно отключить сетевой трафик, включите режим паники:

    # брандмауэр-cmd --panic-on 

   Включение режима паники останавливает весь сетевой трафик. По этой причине его следует использовать только тогда, когда у вас есть физический доступ к машине или если вы вошли в систему с помощью последовательной консоли.

2. Выключение режима паники возвращает брандмауэр к его постоянным настройкам. Чтобы выключить режим паники, введите:

    # firewall-cmd --panic-off 

Проверка

• Чтобы узнать, включен или выключен режим паники, используйте:

   # firewall-cmd --query-panic 

48.3.2. Управление трафиком с помощью предопределенных сервисов с помощью CLI

Самый простой способ контролировать трафик - это добавить предопределенную службу в firewalld .Это открывает все необходимые порты и изменяет другие настройки в соответствии с файлом определения службы .

Процедура

1. Убедитесь, что услуга еще не разрешена:

    # firewall-cmd --list-services
   ssh dhcpv6-клиент 

2. Перечислите все предопределенные службы:

    # firewall-cmd --get-services
   RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry...
   [обрезано для ясности] 

3. Добавьте услугу в разрешенные услуги:

    # firewall-cmd --add-service = <имя-службы> 

4. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.3.3. Управление трафиком с помощью предопределенных сервисов с помощью графического интерфейса

В этой процедуре описывается, как управлять сетевым трафиком с помощью предопределенных служб с помощью графического пользовательского интерфейса.

Предварительные требования

• Вы установили пакет firewall-config

Процедура

1. Чтобы включить или отключить предопределенную или настраиваемую службу:

   1. Запустите инструмент firewall-config и выберите сетевую зону, службы которой необходимо настроить.
   2. Выберите вкладку Services .
   3. Установите флажок для каждого типа службы, которой вы хотите доверять, или снимите флажок, чтобы заблокировать службу.

2. Чтобы отредактировать услугу:

   1. Запустите инструмент firewall-config .
   2. Выберите Постоянный из меню Конфигурация . Дополнительные значки и кнопки меню отображаются в нижней части окна «Службы».
   3. Выберите службу, которую хотите настроить.

Вкладки Порты , Протоколы и Исходный порт позволяют добавлять, изменять и удалять порты, протоколы и исходный порт для выбранной службы.Вкладка модулей предназначена для настройки вспомогательных модулей Netfilter . Вкладка Destination позволяет ограничить трафик определенным адресом назначения и интернет-протоколом ( IPv4 или IPv6 ).

Невозможно изменить настройки службы в режиме Runtime .

48.3.4. Добавление новых услуг

Службы можно добавлять и удалять с помощью графического инструмента firewall-config , firewall-cmd и firewall-offline-cmd .Кроме того, вы можете редактировать файлы XML в / etc / firewalld / services / . Если служба не добавляется или не изменяется пользователем, то соответствующий файл XML не найден в / etc / firewalld / services / . Файлы / usr / lib / firewalld / services / можно использовать в качестве шаблонов, если вы хотите добавить или изменить службу.

Имена служб должны быть буквенно-цифровыми и могут, кроме того, включать только _ (подчеркивание) и – (тире).

Процедура

Чтобы добавить новую службу в терминал, используйте firewall-cmd или firewall-offline-cmd в случае неактивного firewalld .

1. Введите следующую команду, чтобы добавить новую и пустую службу:

    $  firewall-cmd --new-service =  service-name  --permanent  

2. Чтобы добавить новую службу с использованием локального файла, используйте следующую команду:

    $  firewall-cmd --new-service-from-file =  имя-службы .xml - постоянный  

   Вы можете изменить имя службы с помощью дополнительной опции --name = имя-службы .

3. Как только настройки сервиса изменяются, обновленная копия сервиса помещается в / etc / firewalld / services / .

   Как root , вы можете ввести следующую команду, чтобы скопировать службу вручную:

    # cp / usr / lib / firewalld / services / имя-службы.xml /etc/firewalld/services/service-name.xml 

firewalld загружает файлы в первую очередь из / usr / lib / firewalld / services . Если файлы помещены в / etc / firewalld / services и они действительны, то они переопределят соответствующие файлы из / usr / lib / firewalld / services . Переопределенные файлы в / usr / lib / firewalld / services используются, как только соответствующие файлы в / etc / firewalld / services были удалены или если firewalld получил запрос на загрузку значений служб по умолчанию.Это относится только к постоянной среде. Перезагрузка необходима для получения этих откатов также в среде выполнения.

48.3.5. Открытие портов с помощью графического интерфейса

Чтобы разрешить трафик через брандмауэр на определенный порт, вы можете открыть порт в графическом интерфейсе.

Предварительные требования

• Вы установили пакет firewall-config

Процедура

1. Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить.
2. Выберите вкладку Порты и нажмите кнопку «Добавить» справа. Откроется окно Порт и протокол .
3. Введите номер порта или диапазон портов для разрешения.
4. Выберите из списка tcp или udp .

48.3.6. Управление трафиком с помощью протоколов с помощью графического интерфейса

Чтобы разрешить трафик через брандмауэр с использованием определенного протокола, вы можете использовать графический интерфейс.

Предварительные требования

• Вы установили пакет firewall-config

Процедура

1. Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить.
2. Выберите вкладку Protocols и нажмите кнопку Добавить справа. Откроется окно Протокол .
3. Либо выберите протокол из списка, либо установите флажок Другой протокол и введите протокол в поле.

48.3.7. Открытие исходных портов с помощью графического интерфейса

Чтобы разрешить трафик через брандмауэр с определенного порта, вы можете использовать графический интерфейс.

Предварительные требования

• Вы установили пакет firewall-config

Процедура

1. Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить.
2. Выберите вкладку Source Port и нажмите кнопку Add справа.Откроется окно Порт источника .
3. Введите номер порта или диапазон портов для разрешения. Выберите из списка tcp или udp .

48,4. Управление портами с помощью CLI

Порты - это логические устройства, которые позволяют операционной системе получать и различать сетевой трафик и соответственно пересылать его системным службам. Обычно они представлены демоном, который прослушивает порт, то есть ожидает любого трафика, поступающего на этот порт.

Обычно системные службы прослушивают стандартные порты, зарезервированные для них. Например, демон httpd прослушивает порт 80. Однако системные администраторы по умолчанию настраивают демонов на прослушивание разных портов для повышения безопасности или по другим причинам.

Через открытые порты система доступна извне, что представляет угрозу безопасности. Как правило, держите порты закрытыми и открывайте их только в том случае, если они необходимы для определенных служб.

Процедура

Чтобы получить список открытых портов в текущей зоне:

1. Перечислите все разрешенные порты:

    # firewall-cmd --list-ports 

2. Добавьте порт к разрешенным портам, чтобы открыть его для входящего трафика:

    # firewall-cmd --add-port =  номер порта / тип порта  

   Типы портов: tcp , udp , sctp или dccp .Тип должен соответствовать типу сетевого взаимодействия.

3. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

   Типы портов: tcp , udp , sctp или dccp . Тип должен соответствовать типу сетевого взаимодействия.

Когда открытый порт больше не нужен, закройте этот порт в firewalld . Настоятельно рекомендуется закрыть все ненужные порты, как только они не будут использоваться, поскольку оставление порта открытым представляет собой угрозу безопасности.

Процедура

Чтобы закрыть порт, удалите его из списка разрешенных портов:

1. Перечислите все разрешенные порты:

    # firewall-cmd --list-ports 

   Эта команда предоставит вам только список портов, которые были открыты как порты. Вы не сможете увидеть какие-либо открытые порты, которые были открыты как служба. Поэтому вам следует рассмотреть возможность использования опции --list-all вместо --list-ports .

2. Удалите порт из разрешенных портов, чтобы закрыть его для входящего трафика:

    # firewall-cmd --remove-port = номер порта / тип порта 

3. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.5. Работа с пожарными зонами

Зоны представляют собой концепцию более прозрачного управления входящим трафиком. Зоны подключаются к сетевым интерфейсам или им назначается диапазон адресов источников.Вы управляете правилами брандмауэра для каждой зоны независимо, что позволяет вам определять сложные настройки брандмауэра и применять их к трафику.

В этой процедуре описывается, как составить список зон с помощью командной строки.

Процедура

1. Чтобы узнать, какие зоны доступны в вашей системе:

    # firewall-cmd --get-зоны 

   Команда firewall-cmd --get-zone отображает все зоны, доступные в системе, но не показывает никаких подробностей для конкретных зон.

2. Чтобы увидеть подробную информацию по всем зонам:

    # firewall-cmd --list-all-zone 

3. Чтобы просмотреть подробную информацию о конкретной зоне:

    # firewall-cmd --zone = имя-зоны --list-all 

48.5.2. Изменение настроек firewalld для определенной зоны

В разделах «Управление трафиком с помощью предопределенных служб с помощью cli» и «Управление портами с помощью cli» объясняется, как добавлять службы или изменять порты в рамках текущей рабочей зоны.Иногда требуется настроить правила в другой зоне.

Процедура

• Для работы в другой зоне используйте параметр --zone = имя-зоны . Например, чтобы разрешить службу SSH в зоне public :

   # firewall-cmd --add-service = ssh --zone = public 

48.5.3. Изменение зоны по умолчанию

Системные администраторы назначают зону сетевому интерфейсу в его файлах конфигурации.Если интерфейс не назначен определенной зоне, он назначается зоне по умолчанию. После каждого перезапуска службы firewalld , firewalld загружает настройки для зоны по умолчанию и делает ее активной.

Процедура

Чтобы настроить зону по умолчанию:

1. Отобразить текущую зону по умолчанию:

    # firewall-cmd --get-default-zone 

2. Установите новую зону по умолчанию:

    # firewall-cmd --set-default-zone имя-зоны 

   После этой процедуры настройка будет постоянной, даже без опции --permanent .

48.5.4. Назначение сетевого интерфейса зоне

Можно определить разные наборы правил для разных зон, а затем быстро изменить настройки, изменив зону для используемого интерфейса. При наличии нескольких интерфейсов для каждого из них можно установить определенную зону, чтобы различать проходящий через них трафик.

Процедура

Чтобы назначить зону конкретному интерфейсу:

1. Перечислите активные зоны и назначенные им интерфейсы:

    # firewall-cmd --get-active-зонах 

2. Назначьте интерфейс другой зоне:

    # firewall-cmd --zone =  имя_зоны  --change-interface =  имя_интерфейса  --постоянно 

48.5.5. Назначение зоны для подключения с помощью nmcli

Эта процедура описывает, как добавить зону firewalld к соединению NetworkManager с помощью утилиты nmcli .

Процедура

1. Назначьте зону профилю подключения NetworkManager :

    # nmcli connection изменить профиль   connection.zone  имя_зоны  

2. Перезагрузите соединение:

    # nmcli подключение вверх  профиль  

48.5.6. Назначение зоны сетевому подключению вручную в файле ifcfg

Когда соединением управляет NetworkManager , он должен знать зону, которую он использует. Для каждого сетевого подключения можно указать зону, что обеспечивает гибкость различных настроек брандмауэра в зависимости от местоположения компьютера с портативными устройствами. Таким образом, зоны и настройки можно указать для разных мест, например для компании или дома.

48.5.7. Создание новой зоны

Чтобы использовать настраиваемые зоны, создайте новую зону и используйте ее как предварительно определенную зону. Для новых зон требуется опция --permanent , иначе команда не сработает.

Процедура

1. Создайте новую зону:

    # firewall-cmd --new-zone = имя-зоны 

2. Проверьте, добавлена ​​ли новая зона в ваши постоянные настройки:

    # firewall-cmd --get-зоны 

3. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.5.8. Файлы конфигурации зоны

Зоны также можно создавать с помощью файла конфигурации зоны . Этот подход может быть полезен, когда вам нужно создать новую зону, но вы хотите повторно использовать настройки из другой зоны и лишь немного изменить их.

Файл конфигурации зоны firewalld содержит информацию о зоне. Это описание зоны, службы, порты, протоколы, блоки icmp, маскарад, форвард-порты и правила расширенного языка в формате файла XML.Имя файла должно быть имя-зоны .xml , где длина имя-зоны в настоящее время ограничена 17 символами. Файлы конфигурации зоны расположены в каталогах / usr / lib / firewalld / zone / и / etc / firewalld / zone / .

В следующем примере показана конфигурация, которая позволяет использовать одну службу ( SSH ) и один диапазон портов для протоколов TCP и UDP :

 
<зона>
   Моя зона 
   Здесь вы можете описать характерные особенности зоны. 
  
  
  
 

Чтобы изменить настройки для этой зоны, добавьте или удалите разделы для добавления портов, переадресации портов, служб и т. Д.

Дополнительные ресурсы

• firewalld.страница руководства для зоны

48.5.9. Использование целей зоны для установки поведения по умолчанию для входящего трафика

Для каждой зоны вы можете установить поведение по умолчанию, которое обрабатывает входящий трафик, который далее не определен. Такое поведение определяется установкой цели зоны. Есть четыре варианта: по умолчанию , ПРИНЯТЬ , ОТКЛОНЯТЬ и ОТКАЗАТЬ . Установив для цели ACCEPT , вы принимаете все входящие пакеты, кроме тех, которые отключены определенным правилом.Если вы установите для цели REJECT или DROP , вы отключите все входящие пакеты, кроме тех, которые вы разрешили в определенных правилах. Когда пакеты отклоняются, исходный компьютер информируется об отклонении, в то время как информация не отправляется, когда пакеты отбрасываются.

Процедура

Чтобы установить цель для зоны:

1. Перечислите информацию для конкретной зоны, чтобы увидеть цель по умолчанию:

    $ firewall-cmd --zone =  имя-зоны  --list-all 

2. Установите новую цель в зоне:

    # firewall-cmd --permanent --zone = имя-зоны --set-target =  

48.6. Использование зон для управления входящим трафиком в зависимости от источника

Вы можете использовать зоны для управления входящим трафиком в зависимости от его источника. Это позволяет вам сортировать входящий трафик и направлять его через разные зоны, чтобы разрешить или запретить службы, которые могут быть доступны для этого трафика.

Если вы добавляете источник в зону, зона становится активной, и любой входящий трафик от этого источника будет направлен через нее. Вы можете указать разные настройки для каждой зоны, которые соответственно применяются к трафику из данных источников.Вы можете использовать больше зон, даже если у вас только один сетевой интерфейс.

Чтобы направить входящий трафик в определенную зону, добавьте источник в эту зону. Источником может быть IP-адрес или IP-маска в нотации бесклассовой междоменной маршрутизации (CIDR).

Если вы добавляете несколько зон с перекрывающимся диапазоном сети, они упорядочиваются в буквенно-цифровом порядке по имени зоны, и учитывается только первая.

• Чтобы установить источник в текущей зоне:

   # firewall-cmd --add-source = <источник> 

• Чтобы установить исходный IP-адрес для определенной зоны:

   # firewall-cmd --zone = имя-зоны --add-source =  

Следующая процедура разрешает весь входящий трафик с 192.168.2.15 в доверенной зоне :

Процедура

1. Перечислите все доступные зоны:

    # firewall-cmd --get-зоны 

2. Добавьте исходный IP в доверенную зону в постоянном режиме:

    # firewall-cmd --zone = доверенный --add-source = 192.168.2.15 

3. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.6.2. Удаление источника

Удаление источника из зоны приводит к отключению идущего от него трафика.

Процедура

1. Перечислите разрешенные источники для требуемой зоны:

    # firewall-cmd --zone = имя-зоны --list-sources 

2. Удалить источник из зоны навсегда:

    # firewall-cmd --zone = имя-зоны --remove-source =  

3. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.6.3. Добавление исходного порта

Чтобы включить сортировку трафика на основе порта происхождения, укажите порт источника с помощью параметра --add-source-port . Вы также можете комбинировать это с опцией --add-source , чтобы ограничить трафик определенным IP-адресом или диапазоном IP-адресов.

48.6.4. Удаление исходного порта

Удаляя исходный порт, вы отключаете сортировку трафика по исходному порту.

48.6.5. Использование зон и источников для разрешения службы только для определенного домена

Чтобы разрешить трафику из определенной сети использовать службу на машине, используйте зоны и источник. Следующая процедура разрешает только HTTP-трафик из сети 192.0.2.0/24 , в то время как любой другой трафик блокируется.

При настройке этого сценария используйте зону с целью по умолчанию . Использование зоны с целевым значением ПРИНЯТЬ представляет угрозу безопасности, поскольку для трафика с 192.0.2.0 / 24 , все сетевые подключения будут приняты.

Процедура

1. Перечислите все доступные зоны:

    #  firewall-cmd --get-зоны 
   блок dmz drop external home внутренняя общественная доверенная работа 

2. Добавьте диапазон IP-адресов во внутреннюю зону для маршрутизации трафика, исходящего от источника, через зону:

    #  firewall-cmd --zone = internal --add-source = 192.0,2,0 / 24  

3. Добавьте службу http во внутреннюю зону :

    #  firewall-cmd --zone = internal --add-service = http  

4. Сделайте новые настройки постоянными:

    #  firewall-cmd --runtime-to-постоянный  

Проверка

• Убедитесь, что внутренняя зона активна и в ней разрешена услуга:

   #  firewall-cmd --zone = internal --list-all 
  внутренний (активный)
    цель: по умолчанию
    icmp-block-инверсия: нет
    интерфейсы:
    источники: 192.0,2,0 / 24 
    услуги: кабина dhcpv6-client mdns samba-client ssh  http 
    ... 

Дополнительные ресурсы

• firewalld.zones (5) справочная страница

48,7. Настройка NAT с помощью firewalld

С помощью firewalld вы можете настроить следующие типы трансляции сетевых адресов (NAT):

• Маскарадинг
• Источник NAT (SNAT)
• Назначение NAT (DNAT)
• Перенаправить

48.7.1. Различные типы NAT: маскировка, исходный NAT, целевой NAT и перенаправление

Это различные типы трансляции сетевых адресов (NAT):

Маскарад и источник NAT (SNAT)

Используйте один из этих типов NAT, чтобы изменить исходный IP-адрес пакетов. Например, интернет-провайдеры не маршрутизируют частные диапазоны IP-адресов, такие как 10.0.0.0/8 . Если вы используете частные диапазоны IP-адресов в своей сети и пользователи должны иметь доступ к серверам в Интернете, сопоставьте исходный IP-адрес пакетов из этих диапазонов с общедоступным IP-адресом.

И маскарадинг, и SNAT очень похожи. Отличия заключаются в следующем:

• Маскарадинг автоматически использует IP-адрес исходящего интерфейса. Поэтому используйте маскировку, если исходящий интерфейс использует динамический IP-адрес.
• SNAT устанавливает исходный IP-адрес пакетов на указанный IP-адрес и не выполняет динамический поиск IP-адреса исходящего интерфейса. Следовательно, SNAT работает быстрее, чем маскировка. Используйте SNAT, если исходящий интерфейс использует фиксированный IP-адрес.

Назначение NAT (DNAT)

Используйте этот тип NAT для перезаписи адреса назначения и порта входящих пакетов. Например, если ваш веб-сервер использует IP-адрес из частного диапазона IP-адресов и, следовательно, не доступен напрямую из Интернета, вы можете установить правило DNAT на маршрутизаторе для перенаправления входящего трафика на этот сервер.

Перенаправление

Этот тип является частным случаем DNAT, который перенаправляет пакеты на локальную машину в зависимости от перехвата цепочки.Например, если служба работает на другом порту, чем ее стандартный порт, вы можете перенаправить входящий трафик со стандартного порта на этот конкретный порт.

48.7.2. Настройка маскировки IP-адреса

Следующая процедура описывает, как включить маскировку IP в вашей системе. Маскировка IP скрывает отдельные машины за шлюзом при доступе в Интернет.

Процедура

1. Чтобы проверить, включен ли IP-маскарадинг (например, для внешней зоны ), введите следующую команду как root :

    # firewall-cmd --zone = external --query-masquerade 

   Команда выводит да со статусом выхода 0 , если он включен.Он печатает нет со статусом выхода 1 в противном случае. Если зона не указана, будет использоваться зона по умолчанию.

2. Чтобы включить маскировку IP, введите следующую команду как root :

    # firewall-cmd --zone = external --add-masquerade 

3. Чтобы сделать этот параметр постоянным, повторите команду, добавив параметр --permanent .

Чтобы отключить маскировку IP, введите следующую команду от имени root :

 # firewall-cmd --zone = external --remove-masquerade --permanent 

Перенаправление портов с помощью этого метода работает только для трафика на основе IPv4.Для настройки перенаправления IPv6 необходимо использовать расширенные правила.

Для перенаправления во внешнюю систему необходимо включить маскировку. Дополнительные сведения см. В разделе Настройка маскировки IP-адреса.

48.8.1. Добавление порта для перенаправления

Используя firewalld , вы можете настроить перенаправление портов, чтобы любой входящий трафик, который достигает определенного порта в вашей системе, доставлялся на другой внутренний порт по вашему выбору или на внешний порт на другой машине.

Предварительные требования

• Прежде чем перенаправлять трафик с одного порта на другой порт или другой адрес, вы должны знать три вещи: на какой порт приходят пакеты, какой протокол используется и куда вы хотите их перенаправить.

Процедура

1. Чтобы перенаправить порт на другой порт:

    # firewall-cmd --add-forward-port = port = номер порта: proto = tcp | udp | sctp | dccp: toport = номер порта 

2. Чтобы перенаправить порт на другой порт с другим IP-адресом:

   1. Добавьте порт для перенаправления:

       # firewall-cmd --add-forward-port = port = номер порта: proto = tcp | udp: toport = номер порта: toaddr = IP 

   2. Включить маскарад:

       # firewall-cmd --add-masquerade 

48.8.2. Перенаправление TCP-порта 80 на порт 88 на том же компьютере

Следуйте инструкциям, чтобы перенаправить TCP-порт 80 на порт 88.

Процедура

1. Перенаправьте порт 80 на порт 88 для TCP-трафика:

    # firewall-cmd --add-forward-port = port = 80: proto = tcp: toport = 88 

2. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

3. Убедитесь, что порт перенаправлен:

    # firewall-cmd --list-all 

48.8.3. Удаление перенаправленного порта

Эта процедура описывает, как удалить перенаправленный порт.

Процедура

1. Чтобы удалить перенаправленный порт:

    # firewall-cmd --remove-forward-port = port = номер-порта: proto = : toport = номер-порта: toaddr =  

2. Чтобы удалить перенаправленный порт, перенаправленный на другой адрес:

   1. Удалите перенаправленный порт:

       # firewall-cmd --remove-forward-port = port = номер-порта: proto = : toport = номер-порта: toaddr =  

   2. Отключить маскарад:

       # firewall-cmd --remove-masquerade 

48.8.4. Удаление TCP-порта 80, перенаправленного на порт 88 на том же компьютере

Эта процедура описывает, как удалить перенаправление порта.

Процедура

1. Список перенаправленных портов:

    ~] # firewall-cmd --list-forward-ports
   порт = 80: proto = tcp: toport = 88: toaddr = 

2. Удалите перенаправленный порт из брандмауэра:

    ~] # firewall-cmd --remove-forward-port = port = 80: proto = tcp: toport = 88: toaddr = 

3. Сделайте новые настройки постоянными:

    ~] # firewall-cmd --runtime-to-постоянный 

48.9. Управление запросами ICMP

Протокол управляющих сообщений Интернета ( ICMP ) — это поддерживающий протокол, который используется различными сетевыми устройствами для отправки сообщений об ошибках и оперативной информации, указывающей на проблему с подключением, например, что запрошенная услуга недоступна. ICMP отличается от транспортных протоколов, таких как TCP и UDP, тем, что не используется для обмена данными между системами.

К сожалению, можно использовать сообщения ICMP , особенно эхо-запрос и эхо-ответ , для раскрытия информации о вашей сети и неправомерного использования такой информации для различных видов мошенничества.Следовательно, firewalld позволяет блокировать запросы ICMP для защиты вашей сетевой информации.

48.9.1. Список и блокировка запросов ICMP

Листинг ICMP запросов

Запросы ICMP описаны в отдельных файлах XML, которые находятся в каталоге / usr / lib / firewalld / icmptypes / . Вы можете прочитать эти файлы, чтобы увидеть описание запроса. Команда firewall-cmd управляет обработкой запросов ICMP .

• Чтобы перечислить все доступные типы ICMP :

   # firewall-cmd --get-icmptypes 

• Запрос ICMP может использоваться IPv4, IPv6 или обоими протоколами. Чтобы узнать, для какого протокола использовался запрос ICMP :

   # firewall-cmd --info-icmptype =  

• Статус запроса ICMP показывает да, , если запрос в настоящее время заблокирован, или нет, , если это не так.Чтобы узнать, заблокирован ли в настоящее время запрос ICMP :

   # firewall-cmd --query-icmp-block =  

Блокировка или разблокировка ICMP запросов

Когда ваш сервер блокирует запросов ICMP , он не предоставляет ту информацию, которую обычно предоставляет. Однако это не означает, что никакой информации не предоставляется. Клиенты получают информацию о том, что конкретный запрос ICMP заблокирован (отклонен).Следует тщательно продумать блокировку запросов ICMP , поскольку это может вызвать проблемы со связью, особенно с трафиком IPv6.

• Чтобы узнать, заблокирован ли в настоящее время запрос ICMP :

   # firewall-cmd --query-icmp-block =  

• Чтобы заблокировать запрос ICMP :

   # firewall-cmd --add-icmp-block =  

• Чтобы снять блокировку для запроса ICMP :

   # firewall-cmd --remove-icmp-block =  

Блокировка запросов ICMP без предоставления какой-либо информации

Обычно, если вы блокируете запросов ICMP , клиенты знают, что вы их блокируете.Таким образом, потенциальный злоумышленник, который отслеживает действующие IP-адреса, по-прежнему может видеть, что ваш IP-адрес находится в сети. Чтобы полностью скрыть эту информацию, вам нужно отбросить все ICMP-запросы .

Теперь весь трафик, включая запросов ICMP и , отбрасывается, кроме трафика, который вы явно разрешили.

Чтобы заблокировать и отбросить определенные запросы ICMP и разрешить другие:

1. Установите цель вашей зоны на DROP :

    # firewall-cmd --permanent --set-target = DROP 

2. Добавьте инверсию блока ICMP для одновременного блокирования всех запросов ICMP :

    # firewall-cmd --add-icmp-block-инверсия 

3. Добавьте блок ICMP для тех запросов ICMP , которые вы хотите разрешить:

    # firewall-cmd --add-icmp-block =  

4. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

Инверсия блока инвертирует настройку блоков ICMP запросов, поэтому все запросы, которые не были ранее заблокированы, блокируются из-за изменения цели вашей зоны на DROP .Запросы, которые были заблокированы, не блокируются. Это означает, что если вы хотите разблокировать запрос, вы должны использовать команду блокировки.

Чтобы вернуть инверсию блока к полностью разрешающей настройке:

1. Установите цель вашей зоны на по умолчанию или ПРИНЯТЬ :

    # firewall-cmd --permanent --set-target = по умолчанию 

2. Удалите все добавленные блоки для запросов ICMP :

    # firewall-cmd --remove-icmp-block =  

3. Удалите инверсию блока ICMP :

    # firewall-cmd --remove-icmp-block-инверсия 

4. Сделайте новые настройки постоянными:

    # firewall-cmd --runtime-to-постоянный 

48.9.2. Настройка фильтра ICMP с помощью GUI

• Чтобы включить или отключить фильтр ICMP , запустите инструмент firewall-config и выберите сетевую зону, сообщения которой нужно фильтровать. Выберите вкладку ICMP Filter и установите флажок для каждого типа сообщения ICMP , которое вы хотите отфильтровать. Снимите флажок, чтобы отключить фильтр. Этот параметр предназначен для каждого направления, и по умолчанию разрешено все.
• Чтобы отредактировать тип ICMP , запустите инструмент firewall-config и выберите режим Permanent в меню с надписью Configuration .Дополнительные значки отображаются в нижней части окна «Службы». Выберите Да в следующем диалоговом окне, чтобы включить маскировку и сделать пересылку на другой компьютер.
• Чтобы включить инвертирование ICMP Filter , установите флажок Invert Filter справа. Теперь принимаются только отмеченные типы ICMP , все остальные отклоняются. В зоне, где используется цель DROP, они сбрасываются.

48.10. Настройка и управление IP-сетями с помощью

firewalld

Чтобы просмотреть список типов наборов IP-адресов, поддерживаемых firewalld , введите следующую команду от имени пользователя root.

 ~] # firewall-cmd --get-ipset-types
hash: ip hash: ip, mark hash: ip, port hash: ip, port, ip hash: ip, port, net hash: mac hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net, net hash: net, port hash:] сеть, порт, сеть 

48.10.1. Настройка параметров набора IP с помощью CLI

Наборы IP могут использоваться в зонах firewalld как источники, а также как источники в расширенных правилах. В Red Hat Enterprise Linux предпочтительным методом является использование наборов IP-адресов, созданных с помощью firewalld , в прямом правиле.

• Чтобы вывести список IP-адресов, известных firewalld в постоянной среде, используйте следующую команду как root :

   # firewall-cmd --permanent --get-ipsets 

• Чтобы добавить новый набор IP-адресов, используйте следующую команду, используя постоянную среду как root :

   # firewall-cmd --permanent --new-ipset = test --type = hash: net
  успех 

  Предыдущая команда создает новый набор IP с именем test и hash: net type для IPv4 .Чтобы создать набор IP-адресов для использования с IPv6 , добавьте параметр --option = family = inet6 . Чтобы новые настройки вступили в силу в среде выполнения, перезагрузите firewalld .

• Перечислите новый IP-адрес с помощью следующей команды как root :

   # firewall-cmd --permanent --get-ipsets
  тест 

• Чтобы получить дополнительную информацию о наборе IP, используйте следующую команду от имени root :

   # firewall-cmd --permanent --info-ipset = test
  контрольная работа
  тип: hash: net
  опции:
  записей: 

  Обратите внимание, что в данный момент в наборе IP нет записей.

• Чтобы добавить запись в набор test IP, используйте следующую команду как root :

   # firewall-cmd --permanent --ipset =  test  --add-entry =  192.168.0.1 
  успех 

  Предыдущая команда добавляет IP-адрес 192.168.0.1 в набор IP.

• Чтобы получить список текущих записей в наборе IP, используйте следующую команду как root :

   # firewall-cmd --permanent --ipset = test --get-entries
  192.168.0.1 

• Создайте файл, содержащий список IP-адресов, например:

   # cat> iplist.txt << EOL
  192.168.0.2
  192.168.0.3
  192.168.1.0/24
  192.168.2.254
  EOL 

  Файл со списком IP-адресов для набора IP должен содержать запись в каждой строке. Строки, начинающиеся с решетки, точки с запятой или пустые строки, игнорируются.

• Чтобы добавить адреса из файла iplist.txt , используйте следующую команду как root :

   # firewall-cmd --permanent --ipset =  test  --add-entries-from-file =  iplist.txt 
  успех 

• Чтобы просмотреть расширенный список записей набора IP-адресов, используйте следующую команду от имени root :

   # firewall-cmd --permanent --ipset =  test  --get-entries
  192.168.0.1
  192.168.0.2
  192.168.0.3
  192.168.1.0/24
  192.168.2.254 

• Чтобы удалить адреса из набора IP и проверить обновленный список записей, используйте следующие команды как root :

   # firewall-cmd --permanent --ipset =  test  --remove-entries-from-file =  iplist.txt 
  успех
  # firewall-cmd --permanent --ipset = test --get-entries
  192.168.0.1 

• Вы можете добавить IP-адрес в качестве источника в зону для обработки всего трафика, поступающего с любого из адресов, перечисленных в IP-адресе, установленном с зоной. Например, чтобы добавить тестовый IP-адрес в качестве источника в зону отбрасывания , чтобы отбрасывать все пакеты, поступающие из всех записей, перечисленных в наборе IP-адресов test , используйте следующую команду как root :

   # firewall-cmd --permanent --zone = drop --add-source = ipset: test
  успех 

  Префикс ipset: в источнике показывает firewalld , что источником является набор IP, а не IP-адрес или диапазон адресов.

Только создание и удаление наборов IP-адресов ограничено постоянной средой, все другие параметры набора IP-адресов могут использоваться также в среде выполнения без параметра --permanent .

Red Hat не рекомендует использовать наборы IP, которые не управляются через firewalld . Для использования таких наборов IP-адресов требуется постоянное прямое правило для ссылки на набор, а для создания этих наборов IP-адресов необходимо добавить настраиваемую службу. Эту службу необходимо запустить до запуска firewalld , в противном случае firewalld не сможет добавить прямые правила, используя эти наборы.Вы можете добавить постоянные прямые правила с помощью файла /etc/firewalld/direct.xml .

48.11. Приоритет расширенных правил

По умолчанию расширенные правила организованы в зависимости от их действия. Например, запрещают правила имеют приоритет над правилами разрешают . Параметр priority в расширенных правилах предоставляет администраторам детальный контроль над расширенными правилами и порядком их выполнения.

48.11.1. Как параметр приоритета организует правила в разные цепочки

Вы можете установить для параметра priority в расширенном правиле любое число от -32768 до 32767 , а более низкие значения имеют более высокий приоритет.

Сервис firewalld организует правила в зависимости от их приоритетного значения в различные цепочки:

• Приоритет ниже 0: правило перенаправляется в цепочку с суффиксом _pre .
• Приоритет выше 0: правило перенаправляется в цепочку с суффиксом _post .
• Приоритет равен 0: в зависимости от действия правило перенаправляется в цепочку с действием _log , _deny или _allow .

Внутри этих субцепей firewalld сортирует правила на основе их значения приоритета.

48.11.2. Установка приоритета богатого правила

В процедуре описывается пример того, как создать расширенное правило, которое использует параметр приоритета для регистрации всего трафика, который не разрешен или запрещен другими правилами. Вы можете использовать это правило, чтобы пометить неожиданный трафик.

Процедура

1. Добавьте расширенное правило с очень низким приоритетом, чтобы регистрировать весь трафик, не соответствующий другим правилам:

    # firewall-cmd --add-rich-rule = 'приоритет правила = 32767 префикс журнала = "НЕОЖИДАННО:" предельное значение = "5 / м"' 

   Команда дополнительно ограничивает количество записей в журнале до 5 в минуту.

2. При желании отобразите правило nftables , созданное командой на предыдущем шаге:

    # цепочка списков nft inet firewalld filter_IN_public_post
   table inet firewalld {
     цепочка filter_IN_public_post {
       префикс журнала "НЕОЖИДАННЫЙ:" ограничение скорости 5 в минуту
     }
   } 

48.12. Настройка блокировки межсетевого экрана

Локальные приложения или службы могут изменять конфигурацию брандмауэра, если они работают как root (например, libvirt ).С помощью этой функции администратор может заблокировать конфигурацию брандмауэра, чтобы никакие приложения или только приложения, добавленные в список разрешенных блокировок, могли запрашивать изменения брандмауэра. По умолчанию настройки блокировки отключены. Если этот параметр включен, пользователь может быть уверен в отсутствии нежелательных изменений конфигурации брандмауэра локальными приложениями или службами.

48.12.1. Настройка блокировки с помощью CLI

В этой процедуре описывается, как включить или отключить блокировку с помощью командной строки.

• Чтобы узнать, включена ли блокировка, используйте следующую команду от имени root :

   # firewall-cmd --query-lockdown 

  Команда выводит да со статусом выхода 0 , если включена блокировка. Он печатает нет со статусом выхода 1 в противном случае.

• Чтобы включить блокировку, введите следующую команду как root :

   # firewall-cmd --lockdown-on 

• Чтобы отключить блокировку, используйте следующую команду от имени root :

   # firewall-cmd --lockdown-off 

48.12.2. Настройка параметров списка разрешенных блокировок с помощью интерфейса командной строки

Список разрешений блокировки может содержать команды, контексты безопасности, пользователей и идентификаторы пользователей. Если запись команды в списке разрешений заканчивается звездочкой «*», то все командные строки, начинающиеся с этой команды, будут совпадать. Если «*» там нет, то абсолютная команда, включая аргументы, должна совпадать.

• Контекст - это контекст безопасности (SELinux) работающего приложения или службы. Чтобы получить контекст работающего приложения, используйте следующую команду:

   $  ps -e --context  

  Эта команда возвращает все запущенные приложения.Передайте вывод через инструмент grep , чтобы получить интересующее приложение. Например:

   $ ps -e --context | grep example_program 

• Чтобы вывести список всех командных строк, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-commands 

• Чтобы добавить команду команду в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

• Чтобы удалить команду команда из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

• Чтобы узнать, находится ли команда команда в списке разрешений, введите следующую команду как root :

   # firewall-cmd --query-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

  Команда выводит да со статусом выхода 0 , если истина.Он печатает нет со статусом выхода 1 в противном случае.

• Чтобы перечислить все контексты безопасности, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-context 

• Чтобы добавить контекст context в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-context = context 

• Чтобы удалить контекст context из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-context = context 

• Чтобы запросить, находится ли контекст контекст в списке разрешений, введите следующую команду как root :

   # firewall-cmd --query-lockdown-whitelist-context = context 

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

• Чтобы вывести список всех идентификаторов пользователей, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-uids 

• Чтобы добавить идентификатор пользователя uid в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-uid = uid 

• Чтобы удалить идентификатор пользователя uid из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-uid = uid 

• Чтобы узнать, находится ли идентификатор пользователя uid в списке разрешений, введите следующую команду:

   $  firewall-cmd --query-lockdown-whitelist-uid =  uid   

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

• Чтобы перечислить все имена пользователей, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-users 

• Чтобы добавить имя пользователя пользователь в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-user = user 

• Чтобы удалить имя пользователя пользователь из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-user = user 

• Чтобы узнать, есть ли имя пользователя пользователь в списке разрешений, введите следующую команду:

   $  firewall-cmd --query-lockdown-whitelist-user =  пользователь   

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

48.12.3. Настройка параметров списка разрешенных блокировок с помощью файлов конфигурации

Файл конфигурации списка разрешений по умолчанию содержит контекст NetworkManager и контекст по умолчанию libvirt . Идентификатор пользователя 0 также находится в списке.

 
<белый список>


<пользователь />
 

Ниже приведен пример файла конфигурации списка разрешений, включающего все команды для утилиты firewall-cmd , для пользователя с именем user с идентификатором пользователя 815 :

 
<белый список>


<пользователь />

 

В этом примере показаны как идентификатор пользователя , так и имя пользователя , но требуется только одна опция.Python является интерпретатором и добавляется в командную строку. Вы также можете использовать определенную команду, например:

  / usr / bin / python3 / bin / firewall-cmd --lockdown-on  

В этом примере разрешена только команда --lockdown-on .

В Red Hat Enterprise Linux все утилиты помещаются в каталог / usr / bin / , а каталог / bin / символьно связан с каталогом / usr / bin / .Другими словами, хотя путь для firewall-cmd при вводе как root может разрешиться как / bin / firewall-cmd , теперь можно использовать / usr / bin / firewall-cmd . Все новые скрипты должны использовать новое местоположение. Но имейте в виду, что если сценарии, которые запускаются как root , написаны для использования пути / bin / firewall-cmd , то этот путь команды должен быть добавлен в список разрешений в дополнение к / usr / bin / firewall-cmd Путь традиционно используется только для пользователей , не имеющих root-доступа.

* в конце атрибута имени команды означает, что все команды, начинающиеся с этой строки, совпадают. Если * там нет, то абсолютная команда, включая аргументы, должна совпадать.

48,13. Дополнительные ресурсы

• firewalld (1) справочная страница
• firewalld.conf (5) справочная страница
• firewall-cmd (1) справочная страница
• firewall-config (1) страница руководства
• firewall-offline-cmd (1) справочная страница
• firewalld.icmptype (5) справочная страница
• firewalld.ipset (5) справочная страница
• firewalld.service (5) справочная страница
• firewalld.zone (5) справочная страница
• firewalld.direct (5) справочная страница
• firewalld.lockdown-белый список (5)
• firewalld.