Използване на iptables: как да "отворите порт" във виртуалното развитие

Ерата на местното развитие е в историята. Развитието на интернет доведе до обективна необходимост Разпределена обработка на информация. Виртуализацията доведе до факта, че един компютър вече няма значима перспектива. Разработчикът трябва да разполага с пълен набор от виртуални машини от всяко физическо устройство. Създаването на виртуалност и техническа възможност за работа чрез iptables се превърна в търсен и важен фактор при създаването на съвременни ИТ системи.

Съвременно развитие на информационните системи

Високите технологии, при всички свои постижения, се основават на строги синтактични конструкции. Синтаксис език за програмиране или конфигурационен файл - по-малко зло от закостенялостта на концепцията за компютърна разработка като цяло.

Опитът да се извлекат синтаксис и семантика чрез хипертекст не доведе до качествен скок, но наложи да се премине към "разпределен" статут на разработката, към облака и виртуалността.

Работата на един компютър и/или сървър е ограничение. Разработчикът трябва да разполага с арсенал от операционни системи, среди за разработка и тестване. Разработчикът е разпределен екип от специалисти с различна квалификация.

Идеята за iptables е изминала дълъг път за кратко време. Днес тя представлява доста удобен инструментариум за организацията технологични процеси развитие софтуер и използването му.

Използването на iptables за отваряне на порт за даден проект не е проблем. Ограничаване на достъпа - лесно и удобно. Защитната стена firewalld е CentOS и iptables. За да отворите порта, можете да използвате специален инструмент (програма). Това е удобно, но не толкова практично, колкото в Дебиан чрез командния ред.

Избор операционна система от фамилията linuxoid в контекста на решенията за разпределение на портове е от значение за системен администратор в контекста на конфигурацията, но по-важно е да разберете как да използвате iptables, за да отворите порт и да разрешите.

Превключвател и сървър

Преди да започнете да работите с Linux-сървъра, трябва много внимателно да конфигурирате комутатора, който осигурява достъпа до интернет, и вътрешната локална мрежа.

Това е LAN комутатор за малка компания или домашна употреба. По-големите предприятия използват по-усъвършенстван хардуер, но във всеки случай: устройството, достъпно през интернет и LAN, трябва да позволява преминаването на всички пакети и да има отворени всички портове, ако е необходимо.

Сървърът на Linux е iptables. Как да отворите определени портове Покажете правилата за вход, изход и транзит (INPUT, OUTPUT и FORWARD). Няма много правила, има още няколко параметъра, но има много комбинации и възможности. Чрез iptables: отварянето на порт не е проблем, работата на входа (PREROUTING) или на изхода (POSTROUTING) също е.

Всички правила на Linux сървъра са еквивалентни: условие (критерий), описание, действие и брояч. Съдържанието на дадено правило зависи от неговото приложение.

Сървър на физическа виртуална машина

Няма разлика между работен компютър и сървър, но винаги е за предпочитане да не натоварвате сървъра с частни задачи и да го превръщате в работен компютър, предназначен само за разработчици.

В идеалния случай сървърът трябва да има графична обвивка и да "изпълнява" свой собствен работен процес извън администрацията (съхранение на файлове, хостинг, уеб ресурси), ...). Особено за следната задача: самообучаващ се анализ и извличане, съхранение на файлове и множество виртуални машини, добро решение е компютър с инсталация на Дебиан & Proxmox VE.

Тук се нуждаем от iptables. Отварянето на порт за всяка виртуална машина е половината от задачата. Създаване на мостове, маршрути и организиране на самия сървър, като самостоятелен на компютър, на който са инсталирани Apache, MySQL, PHP и браузър. Също така е необходимо да настроите Proxmox VE като система от виртуални машини, достъпни във и извън локалната мрежа.

Това е работещ пример за Debian iptables. Как се отваря порт е показано в много примери. Това не е оптимален набор от правила, но той наистина работи. Някои от правилата се припокриват, но сравняването им ви позволява да разберете как и какво е необходимо да се прилага в конкретна ситуация.

Забележка. Позиции enp0s31f6, 192.168.100.0, 192.168.100.18 и 192.168.100.1 трябва да се замени с реален мрежов интерфейс, реална мрежа, реален IP адрес на сървър и IP адрес на шлюз.

Процедури и правила за iptables

Ако е необходимо да се направят промени в съществуваща система, всички съществуващи правила и мрежови настройки трябва да се запазят. В никакъв случай не бива да правите каквото и да било в работеща система. Най-добрият вариант е да извършите работата на новия сървър и след това да смените машините.

Най-добре е да започнете на чисто. -F и -X iptables няма да отвори порта, но таблицата с правила ще бъде изчистена и ще можете да извършвате административната работа правилно. Защитната стена (ufw) е най-добре да бъде изключена наведнъж. Можете да почистите масата на Nat, което е добра идея.

След това е необходим достъп до ssh (т.е. порт 22 трябва да бъде отворен от iptables). Сървърът трябва да може да се управлява дистанционно. Разрешаване на пинговете и тяхната задължителна проверка. Администраторът на сървъра трябва да се увери, че хардуерът работи физически (технически) правилно. И ако възникне грешка, тя ще бъде в правилата на iptables. Можете да отваряте портове pop, ftp, http, https и други по общо правило (multiport) или поотделно.

Важно е да се има предвид, че правилата имат значение не само по отношение на тяхното съдържание, но и по отношение на реда, по който са определени. В контекста на използването на Proxmox VE не забравяйте да спазите неговите изисквания (по-специално отворете порт 8006 чрез iptables).

Порт 80 (8080) и порт 443 се нуждаят от специално внимание. Например, iptables (отворени портове http & https) позволява уеб трафик. Достъпът до пощата и FTP не е критичен, ако не е включен в обхвата на функционалността на сървъра.

Правилата на iptables влизат в сила незабавно. Клавишът "-A" добавя правило, а клавишът "-D" го изтрива. Запазване на създадения набор от правила:

• iptables-save > /etc/iptables.правила.

Възстановяване на предварително създаден набор от правила:

• iptables-restore < /etc/iptables.правила.

За да активирате iptables и да отворите портове при стартиране на системата, просто запишете това в /etc/network/intefaces, когато основният интерфейс е готов:

Правилата на iptables са не само работен процес За сървъра и неговата сигурност. Това е оптимизирано на практика. Правилата на iptables определят специфичния обхват от пакети, които да бъдат обработвани от сървъра, като определят неговата функционалност и управляват посетителите. С iptables можете да настроите най-добрия режим на администриране и използване на машината.