В этой статье Azure Monitor использует несколько IP-адресов. Azure Monitor состоит из основных показателей платформы и журнала в дополнение к Log Analytics и Application Insights. Вам может потребоваться знать эти адреса, если приложение или инфраструктура, которые вы отслеживаете, размещены за брандмауэром.
Примечание
Хотя эти адреса статичны, возможно, нам придется время от времени их менять. Весь трафик Application Insights представляет собой исходящий трафик, за исключением мониторинга доступности и веб-перехватчиков, для которых требуются правила брандмауэра для входящего трафика.
Подсказка
Вы можете использовать теги сетевых служб Azure для управления доступом, если вы используете группы безопасности сети Azure. Если вы управляете доступом к гибридным / локальным ресурсам, вы можете загрузить эквивалентные списки IP-адресов в виде файлов JSON, которые обновляются каждую неделю:. ActionGroup , ApplicationInsightsAvailability и AzureMonitor .
Кроме того, вы можете подписаться на эту страницу как на RSS-канал, добавив https://github.com/MicrosoftDocs/azure-docs/commit/master/articles/azure-monitor/app/ip-addresses.md.atom в свой любимый читатель RSS / ATOM, чтобы получать уведомления о последних изменениях.
Исходящие порты Вам необходимо открыть некоторые исходящие порты в брандмауэре вашего сервера, чтобы разрешить Application Insights SDK и / или Status Monitor отправлять данные на портал:
Назначение URL IP Порты Телеметрия dc.applicationinsights.azure.com 40. 443 Поток метрик в реальном времени live. 23.96.28.38 443
Монитор состояния Конфигурация монитора состояния — требуется только при внесении изменений.
Назначение URL IP Порты Конфигурация management.core.windows.net 443 Конфигурация управление.azure.com 443 Конфигурация логин.windows.net 443 Конфигурация login.microsoftonline.com 443 Конфигурация secure. 443 Конфигурация авт.gfx.ms 443 Конфигурация login.live.com 443 Установка globalcdn.nuget.org , packages.nuget.org , api.nuget.org/v3/index.json nuget.org , api.nuget.org , dc.services.vsallin .net 443
Тесты доступности Это список адресов, с которых запускаются веб-тесты доступности.Если вы хотите запускать веб-тесты в своем приложении, но ваш веб-сервер ограничен обслуживанием определенных клиентов, вам нужно будет разрешить входящий трафик с наших серверов тестирования доступности.
Сервисный ярлык Если вы используете группы безопасности сети Azure, просто добавьте правило для входящего порта , чтобы разрешить трафик из тестов доступности Application Insights, выбрав Service Tag в качестве источника и ApplicationInsightsAvailability в качестве тега службы источника .
Открыть порты 80 (http) и 443 (https) для входящего трафика с этих адресов (IP-адреса сгруппированы по расположению):
IP-адресов Если вы ищете фактические IP-адреса, чтобы добавить их в список разрешенных IP-адресов в вашем брандмауэре, загрузите файл JSON с описанием диапазонов IP-адресов Azure. Эти файлы содержат самую свежую информацию. Для общедоступного облака Azure вы также можете найти диапазоны IP-адресов по местоположению, используя приведенную ниже таблицу.
После загрузки соответствующего файла откройте его в своем любимом текстовом редакторе и выполните поиск по запросу «ApplicationInsightsAvailability», чтобы перейти прямо к разделу файла, описывающему тег службы для проверки доступности.
Примечание
Эти адреса перечислены с использованием нотации бесклассовой междоменной маршрутизации (CIDR). Это означает, что запись типа 51.144.56.112/28 эквивалентна 16 IP-адресам, начиная с 51.144.56.112 и заканчивая 51.144.56.127 .
Общедоступное облако Azure Загрузите IP-адреса общедоступного облака.
Azure, облако для правительства США Загрузите IP-адреса правительственного облака.
Azure, Китайское облако Загрузите IP-адреса China Cloud.
Адреса, сгруппированные по расположению (публичное облако Azure) Восточная Австралия
20.40.124.176/28
20.40.124.240/28
20.40.125.80/28
Южная Бразилия
191.233.26.176/28
191.233.26.128/28
191.233.26.64/28
Центральная Франция (ранее Южная Франция)
20.40.129.96 / 28
20.40.129.112/28
20.40.129.128/28
20.40.129.144/28
Центральная Франция
20.40.129.32/28
20.40.129.48/28
20.40.129.64/28
20.40.129.80/28
Восточная Азия
52.229.216.48/28
52.229.216.64/28
52.229.216.80/28
Северная Европа
52.158.28.64/28
52.158.28.80/28
52.158.28.96/28
52.158.28.112/28
Восточная Япония
52.140.232.160/28
52.140.232.176/28
52.140.232.192/28
Западная Европа
51.144.56.96/28
51.144.56.112/28
51.144.56.128/28
51.144.56.144/28
51.144.56.160/28
51.144.56.176/28
Юг Великобритании
51.105.9.128/28
51.105.9.144/28
51.105.9.160 / 28
UK West
20.40.104.96/28
20.40.104.112/28
20.40.104.128/28
20.40.104.144/28
Юго-Восточная Азия
52.139.250.96/28
52.139.250.112/28
52.139.250.128/28
52.139.250.144/28
Запад США
40.91.82.48/28
40.91.82.64/28
40.91.82.80/28
40.91.82.96/28
40.91.82.112/28
40.91.82.128/28
Центральная часть США
13.86.97.224/28
13.86.97.240/28
13.86.98.48/28
13.86.98.0/28
13.86.98.16/28
13.86.98.64/28
Северо-Центральный США
23.100.224.16/28
23.100.224.32/28
23.100.224.48/28
23.100.224.64/28
23.100.224.80/28
23.100.224.96/28
23.100.224.112 / 28
23.100.225.0/28
Центрально-южная часть США
20.45.5.160/28
20.45.5.176/28
20.45.5.192/28
20.45.5.208/28
20.45.5.224/28
20.45.5.240/28
Восток США
20.42.35.32/28
20.42.35.64/28
20.42.35.80/28
20.42.35.96/28
20.42.35.112/28
20.42.35.128/28
Discovery API Вы также можете захотеть программным образом получить текущий список сервисных тегов вместе с деталями диапазона IP-адресов.
Application Insights и API-интерфейсы Log Analytics Назначение URI IP Порты API api.applicationinsights.io api1.applicationinsights.io api2.applicationinsights.io api3.applicationinsights.io api4.applicationinsights.io api5.applicationinsights.io dev.applicationinsights.microsoft.com dev.aisvc.visualstudio.com www.applicationinsights.io www.applicationinsights.microsoft.com www.aisvc.visualstudio.com api.loganalytics.io * .api.loganalytics.io dev.loganalytics.io docs.loganalytics.io www.loganalytics.io 20.37.52.188 80 443 Расширение аннотаций Azure Pipeline aigs1.aisvc.visualstudio.com динамический 443
Application Insights Analytics Назначение URI IP Порты Аналитический портал analytics.applicationinsights.io динамический 80 443 CDN applicationanalytics.azureedge.net динамический 80 443 Медиа CDN applicationanalyticsmedia.azureedge.net динамический 80 443
Примечание. Домен * .applicationinsights.io принадлежит группе Application Insights.
Портал Log Analytics Назначение URI IP Порты Портал portal.loganalytics.io динамический 80 443 CDN applicationanalytics.azureedge.нетто динамический 80 443
Примечание. Домен * .loganalytics.io принадлежит команде Log Analytics.
Application Insights Расширение портала Azure Назначение URI IP Порты Расширение Application Insights stamp2.app.insightsportal.visualstudio.com динамический 80 443 Расширение Application Insights CDN insightsportal-prod2-cdn.aisvc.visualstudio.com динамический 80 443
Пакеты SDK Application Insights Назначение URI IP Порты Application Insights JS SDK CDN az416426.vo.msecnd.net динамический 80 443
Веб-перехватчики группы действий Вы можете запросить список IP-адресов, используемых группами действий, с помощью команды Get-AzNetworkServiceTag PowerShell.
Метка обслуживания групп действий Управление изменениями исходных IP-адресов может занять довольно много времени. Использование меток обслуживания избавляет от необходимости обновлять конфигурацию. Тег службы представляет собой группу префиксов IP-адресов из данной службы Azure. Microsoft управляет IP-адресами и автоматически обновляет служебный тег при изменении адресов, избавляя от необходимости обновлять правила сетевой безопасности для группы действий.
На портале Azure в разделе Службы Azure найдите Network Security Group .
Нажмите Добавить и создайте группу безопасности сети.
Добавьте имя группы ресурсов, а затем введите Сведения об экземпляре . Щелкните Review + Create , а затем щелкните Create . Перейдите в группу ресурсов и щелкните по группе сетевой безопасности , которую вы создали.
Выберите Правила безопасности для входящего трафика . Нажмите Добавить . На правой панели откроется новое окно.
Выберите источник: Сервисный код Метка обслуживания источника: ActionGroup Щелкните Добавить . Профилировщик Назначение URI IP Порты Агент agent.azureserviceprofiler.net 20.190.60.38 443 Портал gateway.azureserviceprofiler.net динамический 443 Хранилище * .core.windows.net динамический 443
Отладчик моментальных снимков Примечание
Профилировщик
и отладчик моментальных снимков используют один и тот же набор IP-адресов.
Назначение URI IP Порты Агент agent.azureserviceprofiler.net 20.190.60.38 443 Портал gateway.azureserviceprofiler.net динамический 443 Хранилище *.core.windows.net динамический 443
Документация Raspberry Pi — удаленный доступ Вы можете использовать SSH для подключения к Raspberry Pi с рабочего стола Linux, другого Raspberry Pi или с Apple Mac без установки дополнительного программного обеспечения.
Откройте окно терминала на своем компьютере, заменив на IP-адрес Raspberry Pi, к которому вы пытаетесь подключиться,
Когда соединение работает, вы увидите предупреждение о безопасности / подлинности.Введите да , чтобы продолжить. Вы увидите это предупреждение только при первом подключении.
Примечание
Если вы получаете сообщение об ошибке : истекло время ожидания соединения , вероятно, вы ввели неправильный IP-адрес для Raspberry Pi.
Предупреждение
В случае, если ваш Pi принял IP-адрес устройства, к которому ваш компьютер был подключен ранее (даже если это было в другой сети), вам может быть выдано предупреждение и предложено удалить запись из вашего списка известных устройств.Выполнение этой инструкции и повторная попытка команды ssh должна быть успешной.
Далее вам будет предложено ввести пароль для входа в систему pi : пароль по умолчанию в ОС Raspberry Pi — raspberry .
По соображениям безопасности настоятельно рекомендуется изменить пароль по умолчанию на Raspberry Pi (также вы не можете войти через ssh, если пароль пустой). Теперь вы должны увидеть приглашение Raspberry Pi, которое будет идентично тому, которое находится на самом Raspberry Pi.
Если вы настроили другого пользователя на Raspberry Pi, вы можете подключиться к нему таким же образом, заменив имя пользователя своим собственным, например [email protected]
Теперь вы подключены к Raspberry Pi удаленно и можете выполнять команды.
Переадресация X11 Вы также можете перенаправить свой X-сеанс через SSH, чтобы разрешить использование графических приложений, используя флаг -Y :
Примечание
X11 больше не устанавливается по умолчанию в macOS, поэтому вам придется загрузить и установить его.
Теперь вы находитесь в командной строке, как и раньше, но у вас есть возможность открывать графические окна. Например, набрав:
откроет редактор Geany в окне на вашем локальном рабочем столе.
Требования к портам SolarWinds 80
TCP
Служба публикации в Интернете Входящий Дополнительный порт веб-сервера по умолчанию.Откройте порт, чтобы разрешить обмен данными между вашими компьютерами и веб-консолью Orion.
Если вы укажете любой порт, отличный от 80, вы должны включить этот порт в URL-адрес, используемый для доступа к веб-консоли. Например, если вы укажете IP-адрес 192.168.0.3 и порт 8080, URL-адрес, используемый для доступа к веб-консоли, будет http://192.168.0.3:8080 .
443 TCP IIS Входящий Порт по умолчанию для привязки https. 1433
TCP
Информационная служба SolarWinds Исходящий Порт, используемый для связи между сервером SolarWinds и SQL Server.Откройте порт с вашей веб-консоли Orion на SQL Server.
5671 TCP RabbitMQ Исходящий Порт, используемый для передачи сообщений RabbitMQ с шифрованием SSL от дополнительного веб-сервера к основному механизму опроса.
17777
TCP
Информационная служба SolarWinds Исходящий Модуль Орион трафик.Откройте порт, чтобы разрешить обмен данными от всех механизмов опроса (как основных, так и дополнительных) с дополнительным веб-сервером и от дополнительного веб-сервера с модулями опроса.
Системные требования для Adobe Sign Core Adobe Sign
gps.na1.adobesign.com
gps.adobesign.com
gps.na1.echosign.com
GPS.echosign.com
secure.adobesign.com
secure.na1.adobesign.com
api.na1.adobesign.com
secure.na2.adobesign.com
api.na2.adobesign.com
secure.na3.adobesign.com
api.na3.adobesign.com
secure.na4.adobesign.com
api.na4.adobesign.com
secure.eu1.adobesign.com
api.eu1.adobesign.com
secure.eu2.adobesign.com
api.eu2.adobesign.com
secure.au1.adobesign.com
api.au1.adobesign.com
secure.jp1.adobesign.com
api.jp1.adobesign.com
secure.in1.adobesign.com
api.in1.adobesign.com
secure.adobesigncdn.com
static.adobesigncdn.com
secure.na1.adobesigncdn.com
secure.na2.adobesigncdn.com
secure.na3.adobesigncdn.com
secure.na4.adobesigncdn.com
безопасный.eu1.adobesigncdn.com
secure.eu2.adobesigncdn.com
secure.au1.adobesigncdn.com
secure.jp1.adobesigncdn.com
secure.in1.adobesigncdn.com
secure.echocdn.com
static.echocdn.com
secure.na1.echocdn.com
secure.na2.echocdn.com
secure.na3.echocdn.com
secure.na4.echocdn.com
secure.eu1.echocdn.com
secure.eu2.echocdn.com
безопасный.au1.echocdn.com
secure.jp1.echocdn.com
secure.in1.echocdn.com
secure.echosign.com
secure.na1.echosign.com
api.na1.echosign.com
secure.na2.echosign.com
api.na2.echosign.com
secure.na3.echosign.com
api.na3.echosign.com
secure.na4.echosign.com
api.na4.echosign.com
secure.eu1.echosign.com
api.eu1.echosign.com
безопасный.eu2.echosign.com
api.eu2.echosign.com
secure.au1.echosign.com
api.au1.echosign.com
secure.jp1.echosign.com
api.jp1.echosign.com
secure.in1.echosign.com
api.in1.echosign.com
fonts.googleapis.com (добавлено 07.12.2020)
fonts.gstatic.com (добавлено 07.12.2020)
p.typekit.net
p13n.adobe.io
use.typekit.net
www.adobe.com
Облако документов
акробат.adobe.com
cloud.acrobat.com
files.acrobat.com
na1.documents.adobe.com
api.na1.documents.adobe.com
na2.documents.adobe.com
api.na2.documents.adobe.com
na3.documents.adobe.com
api.na3.documents.adobe.com
na4.documents.adobe.com
api.na4.documents.adobe.com
eu1.documents.adobe.com
api.eu1.documents.adobe.com
eu2.documents.adobe.com
api.eu2.documents.adobe.com
au1.documents.adobe.com
api.au1.documents.adobe.com
jp1.documents.adobe.com
api.jp1.documents.adobe.com
in1.documents.adobe.com
api.in1.documents.adobe.com
acroipm2.adobe.com
adobesearch-sec-uss.adobe.io
ans.oobesaas.adobe.com
byof.adobe.io
cc-api-behance.adobe.io
cc-api-data.adobe.io
cc-collab.adobe.io
ccext.adobe.io
commerce.adobe.com
dc-api.adobecontent.io
documentcloud.adobe.com
geo.adobe.com
geo2.adobe.com
notify.adobe.io
pdfnow.adobe.io
pgc.adobe.io
prod.acp.adobeoobe.com
send.acrobat.com
server.messaging.adobe.com
ui.messaging.adobe.com
Идентификация и вход
adobeid-na1.services.adobe.com
adobeid.services.adobe.com
auth.services.adobe.com
federatedid-na1.services.adobe.com
na1e-acc.services.adobe.com
согласноadobeoobe.com
accounts.adobe.com
acp-ss-ue1.adobe.io
api.account.adobe.com
ids-proxy.account.adobe.com (Добавлено 01.04.2021)
api.typekit.com
ars.oobesaas.adobe.com
assets.adobedtm.com
cdn-ffc.oobesaas.adobe.com
data.typekit.net
ffc-static-cdn.oobesaas.adobe.com
fonts.adobe.com
ims-na1.adobelogin.com
ims-prod06.adobelogin.com
ims-prod07.adobelogin.com
lcs-cops.adobe.io
lcs-entitlement.adobe.io
lcs-robs.adobe.io
lcs-ulecs.adobe.io
licensing.adobe.com
lm.licenses.adobe.com
mir-s3-cdn-cf.behance.net
oobe.adobe.com
polka.typekit.com
prod-rel-ffc-ccm.oobesaas.adobe.com
prod.adobeccstatic.com
public.adobecc.com
scss.adobesc.com
state.typekit.net
static.adobelogin.com
wwwimages.adobe.com
wwwimages2.adobe.com
Страницы администрирования и справки (консоль администратора и helpx)
adminconsole.adobe.com
бит / с-ил.adobe.io
helpx.adobe.com
Пакет Acrobat загружается из консоли администратора
s3.amazonaws.com/tron-ffc-icons-prod/
tron-prod-customized-user-packages.s3.amazonaws.com
Аналитика и отслеживание
esp.aptrinsic.com (добавлено 07.12.2020)
web-sdk.aptrinsic.com (добавлено 07.12.2020)
app-be.aptrinsic.com (добавлено 07.12.2020)
js-агент.newrelic.com
cdn.cookielaw.org
geolocation.onetrust.com
ec.walkme.com
sstats.adobe.com
adobe.tt.omtrdc.net
privacyportal.onetrust.com
bam-cell.nr-data.net:443
bam.nr-data.net
cdn.tt.omtrdc.net
adobemobiledev.demdex.net
api.demandbase.com
см.everesttech.net
adobe.demdex.net
adobedc.demdex.net (добавлено 01.04.2021)
Интеграции:
echosignforsalesforce.com
adobesignforsalesforce.com
Песочница:
gps.echosignsandbox.com
gps.na1.echosignsandbox.com
GPS. adobesignsandbox.com
gps.na1.adobesignsandbox.com
secure.adobesignsandbox.com
secure.echosignsandbox.com
secure.na1.adobesignsandbox.com
secure.na1.adobesignsandboxcdn.com
secure.adobesignsandboxcdn.com
api.na1.adobesignsandbox.com
secure.na1.documentssandbox.adobe.com
documentssandbox.adobe.com
na1.documentssandbox.adobe.com
api.na1.documentssandbox.adobe.com
secure.na1.echocdnsandbox.com
secure.echocdnsandbox.com
secure.na1.echosignsandbox.com
api.na1.echosignsandbox.com
сетей | Документация по новой реликвии Этот список актуален. Последнее обновление 31 мая 2021 г.
Это список сетей, IP-адресов, доменов, портов и конечных точек, используемых клиентами или агентами API для связи с New Relic. TLS требуется для всех доменов.
Ваш браузер должен иметь возможность связываться с несколькими доменами, чтобы New Relic One работал правильно. См. Список доменов, которые должны быть разрешены через ваш брандмауэр, в разделе «Домены, ориентированные на пользователя».
TLS-шифрование Для обеспечения безопасности данных для наших клиентов и соответствия FedRAMP и другим стандартам шифрования данных, безопасность транспортного уровня (TLS) требуется для всех доменов.Наш предпочтительный протокол для всех доменов — TLS 1.2. Для получения дополнительной информации см. Сообщение New Relic Explorers Hub о TLS 1.2.
Кроме того, TLS 1.2 требуется для большинства доменов, за исключением:
соединений агента APM соединений агента браузера API событий Для будущих обновлений требуемых и поддерживаемых версий протокола следуйте уведомлениям безопасности в Центре исследователей New Relic.
Пользовательские домены Обновите свой список разрешений, чтобы New Relic мог взаимодействовать с рядом интегральных доменов (перечисленных ниже).Блокировка доменов может вызвать проблемы с отдельными функциями продукта или предотвратить загрузку страниц в целом.
В этот список не входят домены, к которым подключается New Relic, которые могут быть заблокированы без ущерба для использования вами продукта. Он также не распространяется на пакеты Nerdpack или другие функции, которые взаимодействуют с внешними службами, у которых есть дополнительные требования к домену.
Если ваша организация использует брандмауэр, ограничивающий исходящий трафик, убедитесь, что следующие домены добавлены в список разрешенных:
Домен
Описание
*.newrelic.com
New Relic One и вспомогательные услуги
* .nr-assets.net
Статические ресурсы New Relic
* .nr-ext.net
New Relic One Nerdpacks и активы
* .amazonaws.com
Каталог ресурсов New Relic One за AWS S3
* .cloudfront.net
Статические ресурсы New Relic за AWS CloudFront CDN
безопасный.gravatar.com
Поддержка аватаров Gravatar
fonts.googleapis.com
Поддержка Google Fonts
fonts.gstatic.com
Поддержка Google Fonts
www.google.com
Поддержка reCAPTCHA
www.gstatic.com
Поддержка reCAPTCHA
агентов APM Для повышения производительности сети и безопасность данных, New Relic использует сервис предотвращения CDN и DDoS с большим диапазоном IP-адресов.Агентам New Relic требуется, чтобы ваш брандмауэр разрешал исходящие подключения к следующим сетям и портам.
TLS требуется для всех доменов. Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:
IP-соединения
Данные APM
Сети
Учетные записи региона США:
162.247.240.0/22
Счета региона ЕС:
185.221.84.0 / 22
Порты
Счета региона США:
Конечные точки
Счета региона США:
Рекомендация: Использовать порт 443 , защищенный канал для зашифрованного HTTPS-трафика. Некоторые агенты New Relic также предлагают порт 80, незащищенный канал, открытый для всего HTTP-трафика.
Хотя некоторые агенты можно настроить для использования как порта 80, так и порта 443, мы рекомендуем выбрать порт 443 (по умолчанию).Если у вас есть существующая конфигурация, использующая порт 80, вы можете обновить ее, чтобы использовать порт 443, соединение New Relic по умолчанию.
Агент скачивает TLS требуется для всех доменов. Сервис для download.newrelic.com предоставляется Fastly и может быть изменен без предупреждения. Актуальный список общедоступных IP-адресов для загрузки агента New Relic см. На сайте api.fastly.com/public-ip-list.
Агенты инфраструктуры Чтобы передавать данные в New Relic, нашему мониторингу инфраструктуры необходим исходящий доступ к этим доменам, сетям и портам.TLS требуется для всех доменов.
Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:
IP-соединения
Инфраструктурные данные
Домены
Инфра- api.newrelic.com identity-api.newrelic.com Infrastructure-command-api.newrelic.com log-api.newrelic.com log-api.eu.newrelic.com metric-api.newrelic.com Сети
Для счетов в регионах США:
Порт
Домены + порт
Для учетных записей региона США:
Инфра-API.newrelic.com:443
identity-api.newrelic.com:443
Infrastructure-command-api.newrelic.com:443
log-api.newrelic.com : 443
metric-api.newrelic.com:443
Для учетных записей в странах ЕС:
infra-api.eu.newrelic.com:443
identity-api .eu.newrelic.com: 443
инфраструктура-команда-api.eu.newrelic.com:443
log-api.eu.newrelic.com:443
metric-api.eu.newrelic.com:443
Прокси-сервер
Если вашей системе требуется прокси-сервер для подключения к этому домену, используйте параметр «Инфраструктура прокси-сервер ».
Домены браузера Помимо IP-адресов для агентов APM, приложения, контролируемые нашими агентами браузера, используют исходящие соединения со следующими доменами.TLS требуется для всех доменов.
Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:
Для учетных записей в регионе США:
bam.nr-data.net js-agent.newrelic.com Для учетных записей региона ЕС:
eu01.nr-data.net bam.eu01.nr-data.net Для получения дополнительной информации о доступе к CDN для js-agent.newrelic.com в домен bam.nr-data.net или в один из маяков New Relic, см. Безопасность для мониторинга браузера.
Мобильные домены Помимо IP-адресов для агентов APM, приложения, контролируемые нашими мобильными агентами, используют исходящие соединения со следующими доменами. TLS требуется для всех доменов.
Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:
Для учетных записей в регионе США:
mobile-collector.newrelic.com mobile-crash.newrelic.com mobile-symbol-upload.newrelic.com Для счетов в регионах ЕС:
mobile-collector.eu01.nr-data. net mobile-crash.eu01.nr-data.net mobile-symbol-upload.eu01.nr-data.net Синтетический монитор в общедоступных местах Чтобы настроить брандмауэр, чтобы разрешить синтетический мониторы для доступа к отслеживаемому URL, используйте синтетические публичные IP-адреса миньонов.TLS требуется для всех доменов.
Синтетические частные места мониторинга Синтетические частные миньоны отправляются на конкретную конечную точку в зависимости от региона. Настройте брандмауэр, чтобы разрешить частному миньону доступ к конечной точке или статическим IP-адресам, связанным с конечной точкой. Эти IP-адреса могут измениться в будущем.
TLS требуется для всех доменов. Используйте IP-соединения для данных учетной записи в регионе США или Европейского Союза, в зависимости от ситуации:
IP-соединения
Данные частного местоположения Synthetics
Конечная точка
Для учетных записей региона США :
IP-адреса
Для учетных записей в регионах США:
13.248.153.51
76.223.21.185
Для счетов в странах ЕС:
185.221.86.57
185.221.86.25
Оповещения webhooks, api.newrelic.com интеграции Конечные точки, которые используют api.newrelic.com (например, наш GraphQL API для NerdGraph) и наши веб-перехватчики, созданные New Relic для политик предупреждений, используют IP-адрес из определенных сетевых блоков для региона США или Европейского Союза.TLS требуется для всех адресов в этих блоках.
Сетевые блоки для учетных записей региона США:
Сетевые блоки для учетных записей региона ЕС:
158.177.65.64/29 159.122.103.184/29 161.156.125.32/28 Эти сетевые блоки также применяются к третьему -партийная билетная интеграция.
Дополнительная помощь Если вам нужна дополнительная помощь, ознакомьтесь со следующими ресурсами поддержки и обучения:
Сеть контейнеров | Документация Docker Расчетное время чтения: 4 минуты
Тип сети, которую использует контейнер, будь то мост, none ). Эта тема касается сетевых проблем со стороны
Опубликованные порты По умолчанию, когда вы создаете или запускаете контейнер с помощью докера , создайте или , запускайте докер , --publish или -p . Это создает брандмауэр
Значение флага Описание -p 8080: 80 Сопоставьте TCP-порт 80 в контейнере с портом 8080 на хосте Docker. -p 192.168.1.100:8080:80 Сопоставьте TCP-порт 80 в контейнере с портом 8080 на хосте Docker для подключений к IP-адресу хоста 192.168.1.100. -p 8080: 80 / UDP Сопоставьте UDP-порт 80 в контейнере с портом 8080 на хосте Docker. -p 8080: 80 / TCP-P 8080: 80 / UDP Сопоставьте TCP-порт 80 в контейнере с TCP-портом 8080 на хосте Docker и сопоставьте UDP-порт 80 в контейнере с UDP-портом 8080 на хосте Docker.
IP-адрес и имя хоста По умолчанию контейнеру назначается IP-адрес для каждой сети Docker.
Когда контейнер запускается, он может быть подключен только к одной сети, используя - сеть . Однако вы можете подключить работающий контейнер к нескольким, подключаются к сети .Когда вы запускаете контейнер с помощью - флаг сети , можно указать IP-адрес, назначенный контейнеру на --ip или --ip6 .
Когда вы подключаете существующий контейнер к другой сети с помощью docker network connect , вы можете использовать флаги --ip или --ip6 на этом
Точно так же имя хоста контейнера по умолчанию является идентификатором контейнера в --hostname . При подключении к docker network connect , вы можете использовать --alias
Службы DNS По умолчанию контейнер наследует настройки DNS хоста, как определено в /etc/resolv.conf файл конфигурации. Контейнеры, использующие мост по умолчанию
Пользовательские хосты, определенные в / etc / hosts , не наследуются. Пропустить дополнительных хостов запустите справочную документацию . Вы можете изменить эти настройки на
Флаг Описание -dns IP-адрес DNS-сервера. Чтобы указать несколько DNS-серверов, используйте несколько флагов --dns .Если контейнер не может получить доступ ни к одному из указанных вами IP-адресов, добавляется общедоступный DNS-сервер Google 8.8.8.8 , чтобы ваш контейнер мог разрешать интернет-домены. --dns-поиск Домен поиска DNS для поиска неполных имен хостов. Чтобы указать несколько префиксов поиска DNS, используйте несколько флагов --dns-search . --dns-opt Пара «ключ-значение», представляющая параметр DNS и его значение.См. Документацию к вашей операционной системе для файла resolv.conf , где указаны допустимые параметры. - имя хоста Имя хоста, которое контейнер использует для себя. По умолчанию используется идентификатор контейнера, если он не указан.
Прокси-сервер Если вашему контейнеру необходимо использовать прокси-сервер, см.
сеть, контейнер, автономный
Глава 48. Использование и настройка firewalld Red Hat Enterprise Linux 8 Межсетевой экран — это способ защитить машины от любого нежелательного трафика извне.Он позволяет пользователям контролировать входящий сетевой трафик на хост-машинах, задав набор правил брандмауэра . Эти правила используются для сортировки входящего трафика и либо блокируют его, либо пропускают.
firewalld — это сервисный демон межсетевого экрана, который предоставляет динамически настраиваемый межсетевой экран на базе хоста с интерфейсом D-Bus. Будучи динамическим, он позволяет создавать, изменять и удалять правила без необходимости перезапускать демон брандмауэра при каждом изменении правил.
firewalld использует концепции зон и сервисов, которые упрощают управление трафиком. Зоны — это предопределенные наборы правил. Сетевые интерфейсы и источники могут быть назначены зоне. Разрешенный трафик зависит от сети, к которой подключен ваш компьютер, и уровня безопасности, назначенного этой сети. Службы брандмауэра — это предопределенные правила, которые охватывают все необходимые настройки, позволяющие разрешить входящий трафик для определенной службы, и применяются в пределах зоны.
Службы используют один или несколько портов или адресов для сетевой связи.Межсетевые экраны фильтруют обмен данными по портам. Чтобы разрешить сетевой трафик для службы, ее порты должны быть открыты. firewalld блокирует весь трафик на портах, которые явно не настроены как открытые. Некоторые зоны, например доверенные, по умолчанию разрешают весь трафик.
Обратите внимание, что firewalld с бэкэндом nftables не поддерживает передачу пользовательских правил nftables в firewalld с использованием параметра --direct .
48.1. Начало работы с firewalld
В этом разделе представлена информация о firewalld .
48.1.1. Когда использовать firewalld, nftables или iptables Ниже приводится краткий обзор того, в каком сценарии следует использовать одну из следующих утилит:
firewalld : используйте утилиту firewalld для простых случаев использования брандмауэра. Утилита проста в использовании и охватывает типичные варианты использования для этих сценариев. nftables : используйте утилиту nftables для настройки сложных и критичных к производительности межсетевых экранов, например, для всей сети. iptables : Утилита iptables в Red Hat Enterprise Linux использует API ядра nf_tables вместо устаревшей серверной части . API nf_tables обеспечивает обратную совместимость, поэтому сценарии, использующие команды iptables , по-прежнему работают в Red Hat Enterprise Linux.Для новых сценариев межсетевого экрана Red Hat рекомендует использовать nftables . Чтобы различные службы межсетевого экрана не влияли друг на друга, запустите только одну из них на хосте RHEL и отключите другие службы.
firewalld можно использовать для разделения сетей на разные зоны в соответствии с уровнем доверия, который пользователь решил наложить на интерфейсы и трафик в этой сети. Соединение может быть только частью одной зоны, но зона может использоваться для многих сетевых соединений.
NetworkManager уведомляет firewalld о зоне интерфейса. Вы можете назначить зоны интерфейсам с помощью:
NetworkManager firewall-config инструмент firewall-cmd инструмент командной строки Веб-консоль RHEL Последние три могут редактировать только соответствующие файлы конфигурации NetworkManager .Если вы измените зону интерфейса с помощью веб-консоли, firewall-cmd или firewall-config , запрос перенаправляется на NetworkManager и не обрабатывается firewalld .
Предопределенные зоны хранятся в каталоге / usr / lib / firewalld / zone / и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог / etc / firewalld / zone / только после того, как они были изменены.Стандартные настройки предопределенных зон следующие:
блок Любые входящие сетевые соединения отклоняются сообщением icmp-host -hibited для IPv4 и icmp6-adm -hibited для IPv6 . Возможны только сетевые подключения, инициированные изнутри системы. дмз Для компьютеров в вашей демилитаризованной зоне, которые общедоступны с ограниченным доступом к вашей внутренней сети.Принимаются только выбранные входящие соединения. падение Все входящие сетевые пакеты отбрасываются без какого-либо уведомления. Возможны только исходящие сетевые подключения. внешний Для использования во внешних сетях с включенным маскированием, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, что они не нанесут вред вашему компьютеру. Принимаются только выбранные входящие соединения. дом Для использования дома, когда вы больше всего доверяете другим компьютерам в сети.Принимаются только выбранные входящие соединения. внутренний Для использования во внутренних сетях, когда вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения. общественный Для использования в общественных местах, где вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения. доверенные Принимаются все сетевые подключения. рабочий Для использования на работе, где вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения. Одна из этих зон установлена как зона по умолчанию . Когда интерфейсные соединения добавляются к NetworkManager , они назначаются зоне по умолчанию. При установке зона по умолчанию в firewalld устанавливается как общедоступная зона . Зону по умолчанию можно изменить.
Имена сетевых зон должны быть понятными и позволять пользователям быстро принять разумное решение. Чтобы избежать проблем с безопасностью, проверьте конфигурацию зоны по умолчанию и отключите все ненужные службы в соответствии с вашими потребностями и оценками рисков.
Дополнительные ресурсы
Справочная страница firewalld.zone (5) .
48.1.3. Предопределенные услуги Служба может быть списком локальных портов, протоколов, исходных портов и мест назначения, а также списком вспомогательных модулей брандмауэра, автоматически загружаемых, если служба включена.Использование сервисов экономит время пользователей, поскольку они могут выполнять несколько задач, таких как открытие портов, определение протоколов, включение пересылки пакетов и многое другое, за один шаг, вместо того, чтобы настраивать все одно за другим.
Параметры конфигурации службы и общая информация о файлах описаны на странице руководства firewalld.service (5) . Службы задаются с помощью отдельных файлов конфигурации XML, которые имеют имена в следующем формате: имя-службы .xml . Имена протоколов предпочтительнее имен служб или приложений в firewalld .
Службы можно добавлять и удалять с помощью графического инструмента firewall-config , firewall-cmd и firewall-offline-cmd .
Кроме того, вы можете редактировать файлы XML в каталоге / etc / firewalld / services / . Если служба не добавляется или не изменяется пользователем, то соответствующий файл XML не найден в / etc / firewalld / services / .Файлы в каталоге / usr / lib / firewalld / services / можно использовать в качестве шаблонов, если вы хотите добавить или изменить службу.
Дополнительные ресурсы
Справочная страница firewalld.service (5)
48.1.4. Запуск firewalld Процедура
Чтобы запустить firewalld , введите следующую команду как root :
# systemctl демаскировать firewalld
# systemctl start firewalld Чтобы обеспечить автоматический запуск firewalld при запуске системы, введите следующую команду от имени root :
# systemctl enable firewalld
48.1.5. Остановка firewalld Процедура
Чтобы остановить firewalld , введите следующую команду как root :
# systemctl stop firewalld Чтобы предотвратить автоматический запуск firewalld при запуске системы:
# systemctl отключить firewalld Чтобы убедиться, что firewalld не запускается при доступе к интерфейсу firewalld D-Bus , а также, если другие службы требуют firewalld :
# systemctl маска firewalld
48.1.6. Проверка постоянной конфигурации firewalld В определенных ситуациях, например, после ручного редактирования файлов конфигурации firewalld , администраторы хотят проверить правильность изменений. В этом разделе описывается, как проверить постоянную конфигурацию службы firewalld .
Предварительные требования
Служба firewalld работает. Процедура
Проверьте постоянную конфигурацию службы firewalld :
# брандмауэр-cmd --check-config
успех Если постоянная конфигурация действительна, команда возвращает успех .В других случаях команда возвращает ошибку с дополнительной информацией, например следующей:
# брандмауэр-cmd --check-config
Ошибка: INVALID_PROTOCOL: 'public.xml': 'tcpx' не из {'tcp' | 'udp' | 'sctp' | 'dccp'}
48.2. Просмотр текущего состояния и настроек firewalld
В этом разделе содержится информация о просмотре текущего состояния, разрешенных служб и текущих настроек firewalld .
48.2.1. Просмотр текущего статуса firewalld
Служба межсетевого экрана firewalld установлена в системе по умолчанию. Используйте интерфейс CLI firewalld , чтобы проверить, что служба запущена.
Процедура
Чтобы увидеть статус услуги:
# firewall-cmd --state Для получения дополнительной информации о статусе службы используйте подкоманду systemctl status :
# systemctl status firewalld
firewalld.service - firewalld - динамический демон межсетевого экрана
Загружен: загружен (/usr/lib/systemd/system/firewalld.service; включен; цена поставщика
Активен: активен (работает) с понедельника 18 декабря 2017 г. 16:05:15 CET; 50мин назад
Документы: человек: firewalld (1)
Основной PID: 705 (firewalld)
Задач: 2 (лимит: 4915)
CGroup: /system.slice/firewalld.service
└─705 / usr / bin / python3 -Es / usr / sbin / firewalld --nofork --nopid
48.2.2. Просмотр разрешенных сервисов с помощью графического интерфейса Чтобы просмотреть список служб с помощью графического инструмента firewall-config , нажмите клавишу Super , чтобы войти в Обзор действий, введите firewall и нажмите Введите .Появится инструмент firewall-config . Теперь вы можете просмотреть список услуг на вкладке Services .
Вы можете запустить графический инструмент настройки брандмауэра из командной строки.
Предварительные требования
Вы установили пакет firewall-config . Откроется окно «Конфигурация брандмауэра » . Обратите внимание, что эту команду можно запустить от имени обычного пользователя, но иногда вам предлагается ввести пароль администратора.
48.2.3. Просмотр настроек firewalld с помощью CLI С помощью клиента CLI можно получить различные представления текущих настроек брандмауэра. Параметр --list-all показывает полный обзор настроек firewalld .
firewalld использует зоны для управления трафиком. Если зона не указана параметром --zone , команда действует в зоне по умолчанию, назначенной активному сетевому интерфейсу и соединению.
Процедура
Чтобы перечислить всю необходимую информацию для зоны по умолчанию:
# firewall-cmd --list-all
общественный
цель: по умолчанию
icmp-block-инверсия: нет
интерфейсы:
источники:
услуги: ssh dhcpv6-client
порты:
протоколы:
маскарад: нет
форвард-порты:
исходные порты:
icmp-блоки:
богатые правила: Чтобы указать зону, для которой будут отображаться параметры, добавьте аргумент --zone = имя-зоны в команду firewall-cmd --list-all , например:
# firewall-cmd --list-all --zone = home
дом
цель: по умолчанию
icmp-block-инверсия: нет
интерфейсы:
источники:
услуги: ssh mdns samba-client dhcpv6-client
... [обрезано для ясности] Чтобы просмотреть настройки для конкретной информации, такой как службы или порты, используйте конкретную опцию. См. Справочные страницы firewalld или получите список параметров с помощью команды help:
# firewall-cmd --help Чтобы узнать, какие службы разрешены в текущей зоне:
# firewall-cmd --list-services
ssh dhcpv6-клиент Перечисление настроек для определенной части с помощью инструмента CLI иногда бывает трудно интерпретировать.Например, вы разрешаете службе SSH и firewalld открывает необходимый порт (22) для службы. Позже, если вы перечисляете разрешенные службы, в списке отображается служба SSH , но если вы перечисляете открытые порты, они не отображаются. Поэтому рекомендуется использовать параметр --list-all , чтобы убедиться, что вы получаете полную информацию.
48,3. Управление сетевым трафиком с помощью firewalld
В этом разделе содержится информация об управлении сетевым трафиком с помощью firewalld .
48.3.1. Отключение всего трафика в случае аварии с помощью CLI В экстренной ситуации, например, при системной атаке, можно отключить весь сетевой трафик и отсечь злоумышленника.
Процедура
Чтобы немедленно отключить сетевой трафик, включите режим паники:
# брандмауэр-cmd --panic-on Включение режима паники останавливает весь сетевой трафик. По этой причине его следует использовать только тогда, когда у вас есть физический доступ к машине или если вы вошли в систему с помощью последовательной консоли.
Выключение режима паники возвращает брандмауэр к его постоянным настройкам. Чтобы выключить режим паники, введите:
# firewall-cmd --panic-off Проверка
Чтобы узнать, включен или выключен режим паники, используйте:
# firewall-cmd --query-panic
48.3.2. Управление трафиком с помощью предопределенных сервисов с помощью CLI Самый простой способ контролировать трафик - это добавить предопределенную службу в firewalld .Это открывает все необходимые порты и изменяет другие настройки в соответствии с файлом определения службы .
Процедура
Убедитесь, что услуга еще не разрешена:
# firewall-cmd --list-services
ssh dhcpv6-клиент Перечислите все предопределенные службы:
# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry...
[обрезано для ясности] Добавьте услугу в разрешенные услуги:
# firewall-cmd --add-service = <имя-службы> Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.3.3. Управление трафиком с помощью предопределенных сервисов с помощью графического интерфейса В этой процедуре описывается, как управлять сетевым трафиком с помощью предопределенных служб с помощью графического пользовательского интерфейса.
Предварительные требования
Вы установили пакет firewall-config Процедура
Чтобы включить или отключить предопределенную или настраиваемую службу:
Запустите инструмент firewall-config и выберите сетевую зону, службы которой необходимо настроить. Выберите вкладку Services . Установите флажок для каждого типа службы, которой вы хотите доверять, или снимите флажок, чтобы заблокировать службу. Чтобы отредактировать услугу:
Запустите инструмент firewall-config . Выберите Постоянный из меню Конфигурация . Дополнительные значки и кнопки меню отображаются в нижней части окна «Службы». Выберите службу, которую хотите настроить. Вкладки Порты , Протоколы и Исходный порт позволяют добавлять, изменять и удалять порты, протоколы и исходный порт для выбранной службы.Вкладка модулей предназначена для настройки вспомогательных модулей Netfilter . Вкладка Destination позволяет ограничить трафик определенным адресом назначения и интернет-протоколом ( IPv4 или IPv6 ).
Невозможно изменить настройки службы в режиме Runtime .
48.3.4. Добавление новых услуг Службы можно добавлять и удалять с помощью графического инструмента firewall-config , firewall-cmd и firewall-offline-cmd .Кроме того, вы можете редактировать файлы XML в / etc / firewalld / services / . Если служба не добавляется или не изменяется пользователем, то соответствующий файл XML не найден в / etc / firewalld / services / . Файлы / usr / lib / firewalld / services / можно использовать в качестве шаблонов, если вы хотите добавить или изменить службу.
Имена служб должны быть буквенно-цифровыми и могут, кроме того, включать только _ (подчеркивание) и – (тире).
Процедура
Чтобы добавить новую службу в терминал, используйте firewall-cmd или firewall-offline-cmd в случае неактивного firewalld .
Введите следующую команду, чтобы добавить новую и пустую службу:
$ firewall-cmd --new-service = service-name --permanent Чтобы добавить новую службу с использованием локального файла, используйте следующую команду:
$ firewall-cmd --new-service-from-file = имя-службы .xml - постоянный Вы можете изменить имя службы с помощью дополнительной опции --name = имя-службы .
Как только настройки сервиса изменяются, обновленная копия сервиса помещается в / etc / firewalld / services / .
Как root , вы можете ввести следующую команду, чтобы скопировать службу вручную:
# cp / usr / lib / firewalld / services / имя-службы.xml /etc/firewalld/services/service-name.xml firewalld загружает файлы в первую очередь из / usr / lib / firewalld / services . Если файлы помещены в / etc / firewalld / services и они действительны, то они переопределят соответствующие файлы из / usr / lib / firewalld / services . Переопределенные файлы в / usr / lib / firewalld / services используются, как только соответствующие файлы в / etc / firewalld / services были удалены или если firewalld получил запрос на загрузку значений служб по умолчанию.Это относится только к постоянной среде. Перезагрузка необходима для получения этих откатов также в среде выполнения.
48.3.5. Открытие портов с помощью графического интерфейса Чтобы разрешить трафик через брандмауэр на определенный порт, вы можете открыть порт в графическом интерфейсе.
Предварительные требования
Вы установили пакет firewall-config Процедура
Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить. Выберите вкладку Порты и нажмите кнопку «Добавить» справа. Откроется окно Порт и протокол . Введите номер порта или диапазон портов для разрешения. Выберите из списка tcp или udp .
48.3.6. Управление трафиком с помощью протоколов с помощью графического интерфейса Чтобы разрешить трафик через брандмауэр с использованием определенного протокола, вы можете использовать графический интерфейс.
Предварительные требования
Вы установили пакет firewall-config Процедура
Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить. Выберите вкладку Protocols и нажмите кнопку Добавить справа. Откроется окно Протокол . Либо выберите протокол из списка, либо установите флажок Другой протокол и введите протокол в поле.
48.3.7. Открытие исходных портов с помощью графического интерфейса Чтобы разрешить трафик через брандмауэр с определенного порта, вы можете использовать графический интерфейс.
Предварительные требования
Вы установили пакет firewall-config Процедура
Запустите инструмент firewall-config и выберите сетевую зону, настройки которой вы хотите изменить. Выберите вкладку Source Port и нажмите кнопку Add справа.Откроется окно Порт источника . Введите номер порта или диапазон портов для разрешения. Выберите из списка tcp или udp .
48,4. Управление портами с помощью CLI Порты - это логические устройства, которые позволяют операционной системе получать и различать сетевой трафик и соответственно пересылать его системным службам. Обычно они представлены демоном, который прослушивает порт, то есть ожидает любого трафика, поступающего на этот порт.
Обычно системные службы прослушивают стандартные порты, зарезервированные для них. Например, демон httpd прослушивает порт 80. Однако системные администраторы по умолчанию настраивают демонов на прослушивание разных портов для повышения безопасности или по другим причинам.
Через открытые порты система доступна извне, что представляет угрозу безопасности. Как правило, держите порты закрытыми и открывайте их только в том случае, если они необходимы для определенных служб.
Процедура
Чтобы получить список открытых портов в текущей зоне:
Перечислите все разрешенные порты:
# firewall-cmd --list-ports Добавьте порт к разрешенным портам, чтобы открыть его для входящего трафика:
# firewall-cmd --add-port = номер порта / тип порта Типы портов: tcp , udp , sctp или dccp .Тип должен соответствовать типу сетевого взаимодействия.
Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный Типы портов: tcp , udp , sctp или dccp . Тип должен соответствовать типу сетевого взаимодействия.
Когда открытый порт больше не нужен, закройте этот порт в firewalld . Настоятельно рекомендуется закрыть все ненужные порты, как только они не будут использоваться, поскольку оставление порта открытым представляет собой угрозу безопасности.
Процедура
Чтобы закрыть порт, удалите его из списка разрешенных портов:
Перечислите все разрешенные порты:
# firewall-cmd --list-ports Эта команда предоставит вам только список портов, которые были открыты как порты. Вы не сможете увидеть какие-либо открытые порты, которые были открыты как служба. Поэтому вам следует рассмотреть возможность использования опции --list-all вместо --list-ports .
Удалите порт из разрешенных портов, чтобы закрыть его для входящего трафика:
# firewall-cmd --remove-port = номер порта / тип порта Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.5. Работа с пожарными зонами Зоны представляют собой концепцию более прозрачного управления входящим трафиком. Зоны подключаются к сетевым интерфейсам или им назначается диапазон адресов источников.Вы управляете правилами брандмауэра для каждой зоны независимо, что позволяет вам определять сложные настройки брандмауэра и применять их к трафику.
В этой процедуре описывается, как составить список зон с помощью командной строки.
Процедура
Чтобы узнать, какие зоны доступны в вашей системе:
# firewall-cmd --get-зоны Команда firewall-cmd --get-zone отображает все зоны, доступные в системе, но не показывает никаких подробностей для конкретных зон.
Чтобы увидеть подробную информацию по всем зонам:
# firewall-cmd --list-all-zone Чтобы просмотреть подробную информацию о конкретной зоне:
# firewall-cmd --zone = имя-зоны --list-all
48.5.2. Изменение настроек firewalld для определенной зоны В разделах «Управление трафиком с помощью предопределенных служб с помощью cli» и «Управление портами с помощью cli» объясняется, как добавлять службы или изменять порты в рамках текущей рабочей зоны.Иногда требуется настроить правила в другой зоне.
Процедура
Для работы в другой зоне используйте параметр --zone = имя-зоны . Например, чтобы разрешить службу SSH в зоне public :
# firewall-cmd --add-service = ssh --zone = public
48.5.3. Изменение зоны по умолчанию Системные администраторы назначают зону сетевому интерфейсу в его файлах конфигурации.Если интерфейс не назначен определенной зоне, он назначается зоне по умолчанию. После каждого перезапуска службы firewalld , firewalld загружает настройки для зоны по умолчанию и делает ее активной.
Процедура
Чтобы настроить зону по умолчанию:
Отобразить текущую зону по умолчанию:
# firewall-cmd --get-default-zone Установите новую зону по умолчанию:
# firewall-cmd --set-default-zone имя-зоны После этой процедуры настройка будет постоянной, даже без опции --permanent .
48.5.4. Назначение сетевого интерфейса зоне Можно определить разные наборы правил для разных зон, а затем быстро изменить настройки, изменив зону для используемого интерфейса. При наличии нескольких интерфейсов для каждого из них можно установить определенную зону, чтобы различать проходящий через них трафик.
Процедура
Чтобы назначить зону конкретному интерфейсу:
Перечислите активные зоны и назначенные им интерфейсы:
# firewall-cmd --get-active-зонах Назначьте интерфейс другой зоне:
# firewall-cmd --zone = имя_зоны --change-interface = имя_интерфейса --постоянно
48.5.5. Назначение зоны для подключения с помощью nmcli Эта процедура описывает, как добавить зону firewalld к соединению NetworkManager с помощью утилиты nmcli .
Процедура
Назначьте зону профилю подключения NetworkManager :
# nmcli connection изменить профиль connection.zone имя_зоны Перезагрузите соединение:
# nmcli подключение вверх профиль
48.5.6. Назначение зоны сетевому подключению вручную в файле ifcfg Когда соединением управляет NetworkManager , он должен знать зону, которую он использует. Для каждого сетевого подключения можно указать зону, что обеспечивает гибкость различных настроек брандмауэра в зависимости от местоположения компьютера с портативными устройствами. Таким образом, зоны и настройки можно указать для разных мест, например для компании или дома.
48.5.7. Создание новой зоны Чтобы использовать настраиваемые зоны, создайте новую зону и используйте ее как предварительно определенную зону. Для новых зон требуется опция --permanent , иначе команда не сработает.
Процедура
Создайте новую зону:
# firewall-cmd --new-zone = имя-зоны Проверьте, добавлена ли новая зона в ваши постоянные настройки:
# firewall-cmd --get-зоны Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.5.8. Файлы конфигурации зоны Зоны также можно создавать с помощью файла конфигурации зоны . Этот подход может быть полезен, когда вам нужно создать новую зону, но вы хотите повторно использовать настройки из другой зоны и лишь немного изменить их.
Файл конфигурации зоны firewalld содержит информацию о зоне. Это описание зоны, службы, порты, протоколы, блоки icmp, маскарад, форвард-порты и правила расширенного языка в формате файла XML.Имя файла должно быть имя-зоны .xml , где длина имя-зоны в настоящее время ограничена 17 символами. Файлы конфигурации зоны расположены в каталогах / usr / lib / firewalld / zone / и / etc / firewalld / zone / .
В следующем примере показана конфигурация, которая позволяет использовать одну службу ( SSH ) и один диапазон портов для протоколов TCP и UDP :
<зона>
Моя зона
Здесь вы можете описать характерные особенности зоны.
Чтобы изменить настройки для этой зоны, добавьте или удалите разделы для добавления портов, переадресации портов, служб и т. Д.
Дополнительные ресурсы
firewalld.страница руководства для зоны
48.5.9. Использование целей зоны для установки поведения по умолчанию для входящего трафика Для каждой зоны вы можете установить поведение по умолчанию, которое обрабатывает входящий трафик, который далее не определен. Такое поведение определяется установкой цели зоны. Есть четыре варианта: по умолчанию , ПРИНЯТЬ , ОТКЛОНЯТЬ и ОТКАЗАТЬ . Установив для цели ACCEPT , вы принимаете все входящие пакеты, кроме тех, которые отключены определенным правилом.Если вы установите для цели REJECT или DROP , вы отключите все входящие пакеты, кроме тех, которые вы разрешили в определенных правилах. Когда пакеты отклоняются, исходный компьютер информируется об отклонении, в то время как информация не отправляется, когда пакеты отбрасываются.
Процедура
Чтобы установить цель для зоны:
Перечислите информацию для конкретной зоны, чтобы увидеть цель по умолчанию:
$ firewall-cmd --zone = имя-зоны --list-all Установите новую цель в зоне:
# firewall-cmd --permanent --zone = имя-зоны --set-target =
48.6. Использование зон для управления входящим трафиком в зависимости от источника Вы можете использовать зоны для управления входящим трафиком в зависимости от его источника. Это позволяет вам сортировать входящий трафик и направлять его через разные зоны, чтобы разрешить или запретить службы, которые могут быть доступны для этого трафика.
Если вы добавляете источник в зону, зона становится активной, и любой входящий трафик от этого источника будет направлен через нее. Вы можете указать разные настройки для каждой зоны, которые соответственно применяются к трафику из данных источников.Вы можете использовать больше зон, даже если у вас только один сетевой интерфейс.
Чтобы направить входящий трафик в определенную зону, добавьте источник в эту зону. Источником может быть IP-адрес или IP-маска в нотации бесклассовой междоменной маршрутизации (CIDR).
Если вы добавляете несколько зон с перекрывающимся диапазоном сети, они упорядочиваются в буквенно-цифровом порядке по имени зоны, и учитывается только первая.
Чтобы установить источник в текущей зоне:
# firewall-cmd --add-source = <источник> Чтобы установить исходный IP-адрес для определенной зоны:
# firewall-cmd --zone = имя-зоны --add-source = Следующая процедура разрешает весь входящий трафик с 192.168.2.15 в доверенной зоне :
Процедура
Перечислите все доступные зоны:
# firewall-cmd --get-зоны Добавьте исходный IP в доверенную зону в постоянном режиме:
# firewall-cmd --zone = доверенный --add-source = 192.168.2.15 Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.6.2. Удаление источника Удаление источника из зоны приводит к отключению идущего от него трафика.
Процедура
Перечислите разрешенные источники для требуемой зоны:
# firewall-cmd --zone = имя-зоны --list-sources Удалить источник из зоны навсегда:
# firewall-cmd --zone = имя-зоны --remove-source = Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.6.3. Добавление исходного порта Чтобы включить сортировку трафика на основе порта происхождения, укажите порт источника с помощью параметра --add-source-port . Вы также можете комбинировать это с опцией --add-source , чтобы ограничить трафик определенным IP-адресом или диапазоном IP-адресов.
48.6.4. Удаление исходного порта Удаляя исходный порт, вы отключаете сортировку трафика по исходному порту.
48.6.5. Использование зон и источников для разрешения службы только для определенного домена Чтобы разрешить трафику из определенной сети использовать службу на машине, используйте зоны и источник. Следующая процедура разрешает только HTTP-трафик из сети 192.0.2.0/24 , в то время как любой другой трафик блокируется.
При настройке этого сценария используйте зону с целью по умолчанию . Использование зоны с целевым значением ПРИНЯТЬ представляет угрозу безопасности, поскольку для трафика с 192.0.2.0 / 24 , все сетевые подключения будут приняты.
Процедура
Перечислите все доступные зоны:
# firewall-cmd --get-зоны
блок dmz drop external home внутренняя общественная доверенная работа Добавьте диапазон IP-адресов во внутреннюю зону для маршрутизации трафика, исходящего от источника, через зону:
# firewall-cmd --zone = internal --add-source = 192.0,2,0 / 24 Добавьте службу http во внутреннюю зону :
# firewall-cmd --zone = internal --add-service = http Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный Проверка
Убедитесь, что внутренняя зона активна и в ней разрешена услуга:
# firewall-cmd --zone = internal --list-all
внутренний (активный)
цель: по умолчанию
icmp-block-инверсия: нет
интерфейсы:
источники: 192.0,2,0 / 24
услуги: кабина dhcpv6-client mdns samba-client ssh http
... Дополнительные ресурсы
firewalld.zones (5) справочная страница
48,7. Настройка NAT с помощью firewalld С помощью firewalld вы можете настроить следующие типы трансляции сетевых адресов (NAT):
Маскарадинг Источник NAT (SNAT) Назначение NAT (DNAT) Перенаправить
48.7.1. Различные типы NAT: маскировка, исходный NAT, целевой NAT и перенаправление Это различные типы трансляции сетевых адресов (NAT):
Маскарад и источник NAT (SNAT) Используйте один из этих типов NAT, чтобы изменить исходный IP-адрес пакетов. Например, интернет-провайдеры не маршрутизируют частные диапазоны IP-адресов, такие как 10.0.0.0/8 . Если вы используете частные диапазоны IP-адресов в своей сети и пользователи должны иметь доступ к серверам в Интернете, сопоставьте исходный IP-адрес пакетов из этих диапазонов с общедоступным IP-адресом.
И маскарадинг, и SNAT очень похожи. Отличия заключаются в следующем:
Маскарадинг автоматически использует IP-адрес исходящего интерфейса. Поэтому используйте маскировку, если исходящий интерфейс использует динамический IP-адрес. SNAT устанавливает исходный IP-адрес пакетов на указанный IP-адрес и не выполняет динамический поиск IP-адреса исходящего интерфейса. Следовательно, SNAT работает быстрее, чем маскировка. Используйте SNAT, если исходящий интерфейс использует фиксированный IP-адрес. Назначение NAT (DNAT) Используйте этот тип NAT для перезаписи адреса назначения и порта входящих пакетов. Например, если ваш веб-сервер использует IP-адрес из частного диапазона IP-адресов и, следовательно, не доступен напрямую из Интернета, вы можете установить правило DNAT на маршрутизаторе для перенаправления входящего трафика на этот сервер. Перенаправление Этот тип является частным случаем DNAT, который перенаправляет пакеты на локальную машину в зависимости от перехвата цепочки.Например, если служба работает на другом порту, чем ее стандартный порт, вы можете перенаправить входящий трафик со стандартного порта на этот конкретный порт.
48.7.2. Настройка маскировки IP-адреса Следующая процедура описывает, как включить маскировку IP в вашей системе. Маскировка IP скрывает отдельные машины за шлюзом при доступе в Интернет.
Процедура
Чтобы проверить, включен ли IP-маскарадинг (например, для внешней зоны ), введите следующую команду как root :
# firewall-cmd --zone = external --query-masquerade Команда выводит да со статусом выхода 0 , если он включен.Он печатает нет со статусом выхода 1 в противном случае. Если зона не указана, будет использоваться зона по умолчанию.
Чтобы включить маскировку IP, введите следующую команду как root :
# firewall-cmd --zone = external --add-masquerade Чтобы сделать этот параметр постоянным, повторите команду, добавив параметр --permanent . Чтобы отключить маскировку IP, введите следующую команду от имени root :
# firewall-cmd --zone = external --remove-masquerade --permanent Перенаправление портов с помощью этого метода работает только для трафика на основе IPv4.Для настройки перенаправления IPv6 необходимо использовать расширенные правила.
Для перенаправления во внешнюю систему необходимо включить маскировку. Дополнительные сведения см. В разделе Настройка маскировки IP-адреса.
48.8.1. Добавление порта для перенаправления Используя firewalld , вы можете настроить перенаправление портов, чтобы любой входящий трафик, который достигает определенного порта в вашей системе, доставлялся на другой внутренний порт по вашему выбору или на внешний порт на другой машине.
Предварительные требования
Прежде чем перенаправлять трафик с одного порта на другой порт или другой адрес, вы должны знать три вещи: на какой порт приходят пакеты, какой протокол используется и куда вы хотите их перенаправить. Процедура
Чтобы перенаправить порт на другой порт:
# firewall-cmd --add-forward-port = port = номер порта: proto = tcp | udp | sctp | dccp: toport = номер порта Чтобы перенаправить порт на другой порт с другим IP-адресом:
Добавьте порт для перенаправления:
# firewall-cmd --add-forward-port = port = номер порта: proto = tcp | udp: toport = номер порта: toaddr = IP Включить маскарад:
# firewall-cmd --add-masquerade
48.8.2. Перенаправление TCP-порта 80 на порт 88 на том же компьютере Следуйте инструкциям, чтобы перенаправить TCP-порт 80 на порт 88.
Процедура
Перенаправьте порт 80 на порт 88 для TCP-трафика:
# firewall-cmd --add-forward-port = port = 80: proto = tcp: toport = 88 Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный Убедитесь, что порт перенаправлен:
# firewall-cmd --list-all
48.8.3. Удаление перенаправленного порта Эта процедура описывает, как удалить перенаправленный порт.
Процедура
Чтобы удалить перенаправленный порт:
# firewall-cmd --remove-forward-port = port = номер-порта: proto = : toport = номер-порта: toaddr = Чтобы удалить перенаправленный порт, перенаправленный на другой адрес:
Удалите перенаправленный порт:
# firewall-cmd --remove-forward-port = port = номер-порта: proto = : toport = номер-порта: toaddr = Отключить маскарад:
# firewall-cmd --remove-masquerade
48.8.4. Удаление TCP-порта 80, перенаправленного на порт 88 на том же компьютере Эта процедура описывает, как удалить перенаправление порта.
Процедура
Список перенаправленных портов:
~] # firewall-cmd --list-forward-ports
порт = 80: proto = tcp: toport = 88: toaddr = Удалите перенаправленный порт из брандмауэра:
~] # firewall-cmd --remove-forward-port = port = 80: proto = tcp: toport = 88: toaddr = Сделайте новые настройки постоянными:
~] # firewall-cmd --runtime-to-постоянный
48.9. Управление запросами ICMP Протокол управляющих сообщений Интернета ( ICMP ) — это поддерживающий протокол, который используется различными сетевыми устройствами для отправки сообщений об ошибках и оперативной информации, указывающей на проблему с подключением, например, что запрошенная услуга недоступна. ICMP отличается от транспортных протоколов, таких как TCP и UDP, тем, что не используется для обмена данными между системами.
К сожалению, можно использовать сообщения ICMP , особенно эхо-запрос и эхо-ответ , для раскрытия информации о вашей сети и неправомерного использования такой информации для различных видов мошенничества.Следовательно, firewalld позволяет блокировать запросы ICMP для защиты вашей сетевой информации.
48.9.1. Список и блокировка запросов ICMP Листинг ICMP запросов
Запросы ICMP описаны в отдельных файлах XML, которые находятся в каталоге / usr / lib / firewalld / icmptypes / . Вы можете прочитать эти файлы, чтобы увидеть описание запроса. Команда firewall-cmd управляет обработкой запросов ICMP .
Чтобы перечислить все доступные типы ICMP :
# firewall-cmd --get-icmptypes Запрос ICMP может использоваться IPv4, IPv6 или обоими протоколами. Чтобы узнать, для какого протокола использовался запрос ICMP :
# firewall-cmd --info-icmptype = Статус запроса ICMP показывает да, , если запрос в настоящее время заблокирован, или нет, , если это не так.Чтобы узнать, заблокирован ли в настоящее время запрос ICMP :
# firewall-cmd --query-icmp-block = Блокировка или разблокировка ICMP запросов
Когда ваш сервер блокирует запросов ICMP , он не предоставляет ту информацию, которую обычно предоставляет. Однако это не означает, что никакой информации не предоставляется. Клиенты получают информацию о том, что конкретный запрос ICMP заблокирован (отклонен).Следует тщательно продумать блокировку запросов ICMP , поскольку это может вызвать проблемы со связью, особенно с трафиком IPv6.
Чтобы узнать, заблокирован ли в настоящее время запрос ICMP :
# firewall-cmd --query-icmp-block = Чтобы заблокировать запрос ICMP :
# firewall-cmd --add-icmp-block = Чтобы снять блокировку для запроса ICMP :
# firewall-cmd --remove-icmp-block = Блокировка запросов ICMP без предоставления какой-либо информации
Обычно, если вы блокируете запросов ICMP , клиенты знают, что вы их блокируете.Таким образом, потенциальный злоумышленник, который отслеживает действующие IP-адреса, по-прежнему может видеть, что ваш IP-адрес находится в сети. Чтобы полностью скрыть эту информацию, вам нужно отбросить все ICMP-запросы .
Теперь весь трафик, включая запросов ICMP и , отбрасывается, кроме трафика, который вы явно разрешили.
Чтобы заблокировать и отбросить определенные запросы ICMP и разрешить другие:
Установите цель вашей зоны на DROP :
# firewall-cmd --permanent --set-target = DROP Добавьте инверсию блока ICMP для одновременного блокирования всех запросов ICMP :
# firewall-cmd --add-icmp-block-инверсия Добавьте блок ICMP для тех запросов ICMP , которые вы хотите разрешить:
# firewall-cmd --add-icmp-block = Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный Инверсия блока инвертирует настройку блоков ICMP запросов, поэтому все запросы, которые не были ранее заблокированы, блокируются из-за изменения цели вашей зоны на DROP .Запросы, которые были заблокированы, не блокируются. Это означает, что если вы хотите разблокировать запрос, вы должны использовать команду блокировки.
Чтобы вернуть инверсию блока к полностью разрешающей настройке:
Установите цель вашей зоны на по умолчанию или ПРИНЯТЬ :
# firewall-cmd --permanent --set-target = по умолчанию Удалите все добавленные блоки для запросов ICMP :
# firewall-cmd --remove-icmp-block = Удалите инверсию блока ICMP :
# firewall-cmd --remove-icmp-block-инверсия Сделайте новые настройки постоянными:
# firewall-cmd --runtime-to-постоянный
48.9.2. Настройка фильтра ICMP с помощью GUI Чтобы включить или отключить фильтр ICMP , запустите инструмент firewall-config и выберите сетевую зону, сообщения которой нужно фильтровать. Выберите вкладку ICMP Filter и установите флажок для каждого типа сообщения ICMP , которое вы хотите отфильтровать. Снимите флажок, чтобы отключить фильтр. Этот параметр предназначен для каждого направления, и по умолчанию разрешено все. Чтобы отредактировать тип ICMP , запустите инструмент firewall-config и выберите режим Permanent в меню с надписью Configuration .Дополнительные значки отображаются в нижней части окна «Службы». Выберите Да в следующем диалоговом окне, чтобы включить маскировку и сделать пересылку на другой компьютер. Чтобы включить инвертирование ICMP Filter , установите флажок Invert Filter справа. Теперь принимаются только отмеченные типы ICMP , все остальные отклоняются. В зоне, где используется цель DROP, они сбрасываются.
48.10. Настройка и управление IP-сетями с помощью firewalld
Чтобы просмотреть список типов наборов IP-адресов, поддерживаемых firewalld , введите следующую команду от имени пользователя root.
~] # firewall-cmd --get-ipset-types
hash: ip hash: ip, mark hash: ip, port hash: ip, port, ip hash: ip, port, net hash: mac hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net, net hash: net, port hash:] сеть, порт, сеть
48.10.1. Настройка параметров набора IP с помощью CLI Наборы IP могут использоваться в зонах firewalld как источники, а также как источники в расширенных правилах. В Red Hat Enterprise Linux предпочтительным методом является использование наборов IP-адресов, созданных с помощью firewalld , в прямом правиле.
Чтобы вывести список IP-адресов, известных firewalld в постоянной среде, используйте следующую команду как root :
# firewall-cmd --permanent --get-ipsets Чтобы добавить новый набор IP-адресов, используйте следующую команду, используя постоянную среду как root :
# firewall-cmd --permanent --new-ipset = test --type = hash: net
успех Предыдущая команда создает новый набор IP с именем test и hash: net type для IPv4 .Чтобы создать набор IP-адресов для использования с IPv6 , добавьте параметр --option = family = inet6 . Чтобы новые настройки вступили в силу в среде выполнения, перезагрузите firewalld .
Перечислите новый IP-адрес с помощью следующей команды как root :
# firewall-cmd --permanent --get-ipsets
тест Чтобы получить дополнительную информацию о наборе IP, используйте следующую команду от имени root :
# firewall-cmd --permanent --info-ipset = test
контрольная работа
тип: hash: net
опции:
записей: Обратите внимание, что в данный момент в наборе IP нет записей.
Чтобы добавить запись в набор test IP, используйте следующую команду как root :
# firewall-cmd --permanent --ipset = test --add-entry = 192.168.0.1
успех Предыдущая команда добавляет IP-адрес 192.168.0.1 в набор IP.
Чтобы получить список текущих записей в наборе IP, используйте следующую команду как root :
# firewall-cmd --permanent --ipset = test --get-entries
192.168.0.1 Создайте файл, содержащий список IP-адресов, например:
# cat> iplist.txt << EOL
192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254
EOL Файл со списком IP-адресов для набора IP должен содержать запись в каждой строке. Строки, начинающиеся с решетки, точки с запятой или пустые строки, игнорируются.
Чтобы добавить адреса из файла iplist.txt , используйте следующую команду как root :
# firewall-cmd --permanent --ipset = test --add-entries-from-file = iplist.txt
успех Чтобы просмотреть расширенный список записей набора IP-адресов, используйте следующую команду от имени root :
# firewall-cmd --permanent --ipset = test --get-entries
192.168.0.1
192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254 Чтобы удалить адреса из набора IP и проверить обновленный список записей, используйте следующие команды как root :
# firewall-cmd --permanent --ipset = test --remove-entries-from-file = iplist.txt
успех
# firewall-cmd --permanent --ipset = test --get-entries
192.168.0.1 Вы можете добавить IP-адрес в качестве источника в зону для обработки всего трафика, поступающего с любого из адресов, перечисленных в IP-адресе, установленном с зоной. Например, чтобы добавить тестовый IP-адрес в качестве источника в зону отбрасывания , чтобы отбрасывать все пакеты, поступающие из всех записей, перечисленных в наборе IP-адресов test , используйте следующую команду как root :
# firewall-cmd --permanent --zone = drop --add-source = ipset: test
успех Префикс ipset: в источнике показывает firewalld , что источником является набор IP, а не IP-адрес или диапазон адресов.
Только создание и удаление наборов IP-адресов ограничено постоянной средой, все другие параметры набора IP-адресов могут использоваться также в среде выполнения без параметра --permanent .
Red Hat не рекомендует использовать наборы IP, которые не управляются через firewalld . Для использования таких наборов IP-адресов требуется постоянное прямое правило для ссылки на набор, а для создания этих наборов IP-адресов необходимо добавить настраиваемую службу. Эту службу необходимо запустить до запуска firewalld , в противном случае firewalld не сможет добавить прямые правила, используя эти наборы.Вы можете добавить постоянные прямые правила с помощью файла /etc/firewalld/direct.xml .
48.11. Приоритет расширенных правил По умолчанию расширенные правила организованы в зависимости от их действия. Например, запрещают правила имеют приоритет над правилами разрешают . Параметр priority в расширенных правилах предоставляет администраторам детальный контроль над расширенными правилами и порядком их выполнения.
48.11.1. Как параметр приоритета организует правила в разные цепочки Вы можете установить для параметра priority в расширенном правиле любое число от -32768 до 32767 , а более низкие значения имеют более высокий приоритет.
Сервис firewalld организует правила в зависимости от их приоритетного значения в различные цепочки:
Приоритет ниже 0: правило перенаправляется в цепочку с суффиксом _pre . Приоритет выше 0: правило перенаправляется в цепочку с суффиксом _post . Приоритет равен 0: в зависимости от действия правило перенаправляется в цепочку с действием _log , _deny или _allow . Внутри этих субцепей firewalld сортирует правила на основе их значения приоритета.
48.11.2. Установка приоритета богатого правила В процедуре описывается пример того, как создать расширенное правило, которое использует параметр приоритета для регистрации всего трафика, который не разрешен или запрещен другими правилами. Вы можете использовать это правило, чтобы пометить неожиданный трафик.
Процедура
Добавьте расширенное правило с очень низким приоритетом, чтобы регистрировать весь трафик, не соответствующий другим правилам:
# firewall-cmd --add-rich-rule = 'приоритет правила = 32767 префикс журнала = "НЕОЖИДАННО:" предельное значение = "5 / м"' Команда дополнительно ограничивает количество записей в журнале до 5 в минуту.
При желании отобразите правило nftables , созданное командой на предыдущем шаге:
# цепочка списков nft inet firewalld filter_IN_public_post
table inet firewalld {
цепочка filter_IN_public_post {
префикс журнала "НЕОЖИДАННЫЙ:" ограничение скорости 5 в минуту
}
}
48.12. Настройка блокировки межсетевого экрана Локальные приложения или службы могут изменять конфигурацию брандмауэра, если они работают как root (например, libvirt ).С помощью этой функции администратор может заблокировать конфигурацию брандмауэра, чтобы никакие приложения или только приложения, добавленные в список разрешенных блокировок, могли запрашивать изменения брандмауэра. По умолчанию настройки блокировки отключены. Если этот параметр включен, пользователь может быть уверен в отсутствии нежелательных изменений конфигурации брандмауэра локальными приложениями или службами.
48.12.1. Настройка блокировки с помощью CLI В этой процедуре описывается, как включить или отключить блокировку с помощью командной строки.
Чтобы узнать, включена ли блокировка, используйте следующую команду от имени root :
# firewall-cmd --query-lockdown Команда выводит да со статусом выхода 0 , если включена блокировка. Он печатает нет со статусом выхода 1 в противном случае.
Чтобы включить блокировку, введите следующую команду как root :
# firewall-cmd --lockdown-on Чтобы отключить блокировку, используйте следующую команду от имени root :
# firewall-cmd --lockdown-off
48.12.2. Настройка параметров списка разрешенных блокировок с помощью интерфейса командной строки Список разрешений блокировки может содержать команды, контексты безопасности, пользователей и идентификаторы пользователей. Если запись команды в списке разрешений заканчивается звездочкой «*», то все командные строки, начинающиеся с этой команды, будут совпадать. Если «*» там нет, то абсолютная команда, включая аргументы, должна совпадать.
Контекст - это контекст безопасности (SELinux) работающего приложения или службы. Чтобы получить контекст работающего приложения, используйте следующую команду:
$ ps -e --context Эта команда возвращает все запущенные приложения.Передайте вывод через инструмент grep , чтобы получить интересующее приложение. Например:
$ ps -e --context | grep example_program Чтобы вывести список всех командных строк, которые находятся в списке разрешений, введите следующую команду как root :
# firewall-cmd --list-lockdown-whitelist-commands Чтобы добавить команду команду в список разрешений, введите следующую команду как root :
# firewall-cmd --add-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' Чтобы удалить команду команда из списка разрешений, введите следующую команду как root :
# firewall-cmd --remove-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' Чтобы узнать, находится ли команда команда в списке разрешений, введите следующую команду как root :
# firewall-cmd --query-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' Команда выводит да со статусом выхода 0 , если истина.Он печатает нет со статусом выхода 1 в противном случае.
Чтобы перечислить все контексты безопасности, которые находятся в списке разрешений, введите следующую команду как root :
# firewall-cmd --list-lockdown-whitelist-context Чтобы добавить контекст context в список разрешений, введите следующую команду как root :
# firewall-cmd --add-lockdown-whitelist-context = context Чтобы удалить контекст context из списка разрешений, введите следующую команду как root :
# firewall-cmd --remove-lockdown-whitelist-context = context Чтобы запросить, находится ли контекст контекст в списке разрешений, введите следующую команду как root :
# firewall-cmd --query-lockdown-whitelist-context = context Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.
Чтобы вывести список всех идентификаторов пользователей, которые находятся в списке разрешений, введите следующую команду как root :
# firewall-cmd --list-lockdown-whitelist-uids Чтобы добавить идентификатор пользователя uid в список разрешений, введите следующую команду как root :
# firewall-cmd --add-lockdown-whitelist-uid = uid Чтобы удалить идентификатор пользователя uid из списка разрешений, введите следующую команду как root :
# firewall-cmd --remove-lockdown-whitelist-uid = uid Чтобы узнать, находится ли идентификатор пользователя uid в списке разрешений, введите следующую команду:
$ firewall-cmd --query-lockdown-whitelist-uid = uid Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.
Чтобы перечислить все имена пользователей, которые находятся в списке разрешений, введите следующую команду как root :
# firewall-cmd --list-lockdown-whitelist-users Чтобы добавить имя пользователя пользователь в список разрешений, введите следующую команду как root :
# firewall-cmd --add-lockdown-whitelist-user = user Чтобы удалить имя пользователя пользователь из списка разрешений, введите следующую команду как root :
# firewall-cmd --remove-lockdown-whitelist-user = user Чтобы узнать, есть ли имя пользователя пользователь в списке разрешений, введите следующую команду:
$ firewall-cmd --query-lockdown-whitelist-user = пользователь Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.
48.12.3. Настройка параметров списка разрешенных блокировок с помощью файлов конфигурации Файл конфигурации списка разрешений по умолчанию содержит контекст NetworkManager и контекст по умолчанию libvirt . Идентификатор пользователя 0 также находится в списке.
<белый список>
Ниже приведен пример файла конфигурации списка разрешений, включающего все команды для утилиты firewall-cmd , для пользователя с именем user с идентификатором пользователя 815 :
<белый список>
В этом примере показаны как идентификатор пользователя , так и имя пользователя , но требуется только одна опция.Python является интерпретатором и добавляется в командную строку. Вы также можете использовать определенную команду, например:
/ usr / bin / python3 / bin / firewall-cmd --lockdown-on В этом примере разрешена только команда --lockdown-on .
В Red Hat Enterprise Linux все утилиты помещаются в каталог / usr / bin / , а каталог / bin / символьно связан с каталогом / usr / bin / .Другими словами, хотя путь для firewall-cmd при вводе как root может разрешиться как / bin / firewall-cmd , теперь можно использовать / usr / bin / firewall-cmd . Все новые скрипты должны использовать новое местоположение. Но имейте в виду, что если сценарии, которые запускаются как root , написаны для использования пути / bin / firewall-cmd , то этот путь команды должен быть добавлен в список разрешений в дополнение к / usr / bin / firewall-cmd Путь традиционно используется только для пользователей , не имеющих root-доступа.
* в конце атрибута имени команды означает, что все команды, начинающиеся с этой строки, совпадают. Если * там нет, то абсолютная команда, включая аргументы, должна совпадать.
48,13. Дополнительные ресурсы firewalld (1) справочная страница firewalld.conf (5) справочная страница firewall-cmd (1) справочная страница firewall-config (1) страница руководства firewall-offline-cmd (1) справочная страница firewalld.icmptype (5) справочная страница firewalld.ipset (5) справочная страница firewalld.service (5) справочная страница firewalld.zone (5) справочная страница firewalld.direct (5) справочная страница firewalld.lockdown-белый список (5) firewalld. 
Если заявление вы планируете отправить почтой или через представителя по доверенности, то с формой нужно будет обратиться к нотариусу для заверения подписи будущего предпринимателя. При личной подаче заявления нотариального заверения подписи не требуется, достаточно будет предъявить паспорт и поставить подпись в присутствии налогового инспектора или сотруднкиа МФЦ.
В некоторых отделениях для этого даже необязательно обращаться к операционисту. Специальные терминалы позволяют сделать это по штрих-коду. Просто поднесите его к сканирующему устройству. Также для оплаты пошлины можно воспользоваться онлайн-сервисом ФНС или интернет-банком.
Как самостоятельно зарегистрировать ИП? Видео-инструкция
.. 
Чтобы не отпрашиваться с работы и не мотаться домой, он открыл ИП удаленно через «Госуслуги». Рассказываю про оба варианта: как открыться, какие документы нужны, сколько времени и денег потратите.
Он нужен, чтобы государство видело, чем вы занимаетесь. Каждый код обозначает определенный вид деятельности. Например, 70.10.2 — управление холдинг-компаниями, 74.30 — письменный и устный перевод, а 15.11.1 — выделка и крашение меха. Если вы открыли интернет-магазин без ОКВЭДа 52.61.2, вам сделают предупреждение или оштрафуют на 5000 ₽.
03 — деятельность в области художественного творчества. К нему я подобрал 13 дополнительных кодов в сфере дизайна, перевода и маркетинга
Внимательно прочитайте сноски внизу формы. Подробные правила оформления читайте в статье Regberry или посмотрите видео.
Нажмите «Далее».
Уточните, в каком виде банк принимает документы для открытия расчетного счета.
Можно подать заявление и по интернету, но тогда вы потратите дополнительные 1000 ₽ на электронную подпись. Распечатать заявление и отнести его в налоговую — дешевле и быстрее.
Это то же самое отделение, куда вы оплатили госпошлину.
Это лист формата А4, где перечислена вся информация о вашем ИП: фамилия, имя, отчество, основной государственный регистрационный номер (ОГРНИП), дата регистрации, адрес прописки, отделение налоговой для отчетности, виды деятельности.
Он подтверждает, что вы легализовали свой бизнес
Добавить комментарий