Portide avamine Linuxis

Kuidas

KõrvalJeff Butts

Viimati värskendatud1. märts 2022

Kas peate looma ühenduse välise arvuti või serveriga või vajate teiega ühenduse loomiseks teist arvutit või serverit? Kui kasutate Linuxit, peate veenduma, et õige port on avatud.

Kui teistel operatsioonisüsteemidel on selleks tavaliselt mõni graafiline tööriist, siis Linux pole nii lihtne. Allpool kirjeldame, kuidas Linuxis porte avada.

Mis on port ja miks ma peaksin selle avama?

Port on võrgu lõpp-punkt. Mõelge sellele nagu uks, mis viib konkreetsesse ruumi või välismaailma, kuid teie arvutisse. Kõik, mida teete Internetis, kasutab kindlat porti või portide seeriat.

Oletame näiteks, et soovite käitada oma Minecrafti serverit. Selleks peate avama pordi, mille kaudu kasutajad saavad sellega ühenduse luua. Sama kehtiks ka teie enda veebi-, meili- või FTP-serveri käitamise kohta.

Sadamad on standardiseeritud kõigi võrkudega ühendatud

seadmeid. Esimesed 1024 porti (0 kuni 1023) on tähistatud kui tuntud pordinumbrid. Need on reserveeritud kõige sagedamini kasutatavate teenuste jaoks, nagu HTTP ja HTTP (vastavalt port 80 ja 443) ning SSH (port 22).

Pordinumbreid üle 1024 nimetatakse efemeersed sadamad, ja on tavaliselt saadaval võrgumängude, privaatsete veebiserverite jms jaoks. Helistatakse pordinumbritele 1024 kuni 49151 registreeritud või kasutajapordid, samas kui need vahemikus 49152 kuni 65535 on tuntud kui dünaamiline või erasadamad.

Avatud portide loend Linuxis

Enne kui alustate pordi avamist Linuxis, peaksite veenduma, et see pole juba kasutusel. Saate seda teha kasutades netstat käsk, mis sisaldub enamikes Linuxi distributsioonides. Kui teie distributsioonil pole netstat, sa võid kasutada ss selle asemel.

netstat -lntu. 

See prindib kõik kuulamispesad (-l) koos pordi numbriga (-n). See sisaldab TCP porte (-t) kui ka UDP (-u). Kui teie süsteemil pole netstat, lihtsalt kasuta ss samade parameetritega.

ss -lntu. 

Portide avamine Linuxis

Selle näite huvides eeldame, et tahame avada pordi 4000 TCP-ühendustele. Esmalt peame veenduma, et port pole juba kasutusel. Teeme seda läbi netstat või ss.

netstat -na | grp: 4000. ss -na | grp: 4000. 

Eeldades, et väljund on tühi, saame süsteemi tulemüürile lisada sobivad pordireeglid. Selle meetodid sõltuvad teie levitamisest ja sellest, kas see kasutab uuemat ufw tulemüür või tulemüür. Ubuntu soosibufw, samas CentOS kasutab tavaliselttulemüür selle asemel. Muidugi on endiselt mõned Linuxi distributsioonid, mis kasutavad vanemat iptables tulemüür.

Ubuntu kasutajatele ja teistele ufw tulemüüripõhistele süsteemidele

Selle asemel, et kasutada vanemat iptables tulemüür, Ubuntu ja mõned muud distributsioonid ufw. Nendes süsteemides avab pordi järgmine käsk.

sudo ufw luba 4000. 

Jätke paar järgmist sammu vahele ja testige äsja avatud porti, et veenduda, et see töötab.

Portide avamine Linuxis CentOS-i ja muude tulemüüripõhiste süsteemide abil

Kui teie süsteem kasutab tulemüür, on teie parim valik kasutada tulemüür-cmd käsk reeglite värskendamiseks.

sudo firewall-cmd --add-port=4000/tcp. 

See ei ole püsiv muudatus, kuid käsitleme seda, kuidas reeglid pärast taaskäivitamist pärast pordi testimist püsima jäävad.

Muude Linuxi distributsioonide jaoks

Kui teie Linuxi süsteemil pole ufw või tulemüür, peate kasutama iptables. Kui see pole installitud, hankige see oma valitud paketihalduri abil. Kui see on installitud, avavad need käsud pordi 4000:

sudo iptables -A SISEND -p tcp --dport 4000 -j ACCEPT. sudo teenus iptables taaskäivitub. 

Kui teie süsteem kasutab systemctl, asendage teine ​​käsk järgmisega:

sudo systemctl taaskäivitage iptables. 

Äsja avatud portide ühenduste testimine

Järgmisena peaksime porti testima, et veenduda, et see aktsepteerib ühendusi. Teeme seda kasutades netcat (nc) pordi kuulamiseks ja seejärel sellele telneti loomiseks.

Esiteks avage terminali aken ja andke järgmine käsk:

sudo ls | nc -l -p 4000. 

Jätke see tööle (kuulake) ja avage teine ​​terminali aken. Selles aknas kasutate ühenduvuse testimiseks telneti. Kui telnet pole installitud, tehke seda oma paketihalduri abil.

telnet [hostinimi/IP-aadress] [pordi number]

Asenda [hostinimi/IP-aadress] oma süsteemi IP-aadressiga ja [pordi number] pordi numbriga, mille avasite.

telnet localhost 4000. 

Peaksite nägema allpool sellist väljundit, mis näitab avatud ühendust nc.

Kasutades saame ka näidata, et port on avatud nmap. Jällegi, kui käsk pole veel installitud, kasutage selle hankimiseks oma paketihaldurit.

nmap localhost -p 4000. 

Pange tähele, et nmap loetleb ainult avatud pordid, mis ühendusi kuulavad. Seetõttu kasutame selle pordi pealt kuulamiseks testimiseks netcati. Vastasel juhul ei registreerita porti avatud olevat.

Ma ei saa ühendust äsja avatud pordiga, mis nüüd saab?

Kui teete kõik ülaltoodud sammud läbi ja te ei saa pordiga ühendust, kontrollige oma tippimist. Kui olete kindel, et sisestasite kõik õigesti, peate tõenäoliselt oma võrguruuteri liikluse lubamiseks ümber konfigureerima.

Kuna igal võrguruuteril on erinevad konfiguratsiooniekraanid, peaksite tutvuma oma seadme tugilehtede või kasutusjuhendiga. Peate kontrollima pordi suunamise või pordi kaardistamise sätteid, samuti sisseehitatud tulemüüri, mida ruuter võib kasutada.

Kuidas porti jäädavalt Linuxis avada

Kui olete avatud porti testinud ja veendunud, et see töötab, soovite tõenäoliselt muuta muudatuse püsivaks. Vastasel juhul ei pruugi muudatused pärast taaskäivitamist kehtima jääda. Kui olete Ubuntu kasutaja või kasutate muul viisil ufw tulemüür, ei pea te selle pärast muretsema. The ufw reeglid taaskäivitamisel ei lähtestu.

Tulemüüri kasutajatele

Pordireegli järgimine pärast taaskäivitamist on lihtne tulemüür. Lihtsalt lisage - alaline liputage oma esialgse käsu juurde ja see lisatakse käivitamisel teie Linuxi süsteemi tulemüürireeglitesse.

sudo firewall-cmd --add-port=4000/tcp --permanent. 

Kui kasutate endiselt iptablesi

The iptables tulemüür on palju tülikam (võib-olla hea põhjus versioonile uuendamiseks tulemüür või ufw). Porti "püsivalt" avamiseks iptables, saate installida iptables-püsiv pakett abiks.

Esmakordsel installimisel iptables-püsiv Debianil põhinevas süsteemis salvestab see teie praegused reeglid kummassegi /etc/iptables/rules.v4 või /etc/iptables/rules.v6. Uute reeglite lisamiseks väljastate järgmise käsu:

sudo iptables-save > /etc/iptables/rules.v4. 

VÕI

sudo iptables-save > /etc/iptables/rules.v6. 

Neile, kes kasutavad RPM-põhiseid Linuxi distributsioone, on see pisut erinev. Pakett on nn iptables-teenused, ja salvestusfailid on /etc/sysconfig/iptables ja /etc/sysconfig/ip6tables.

RPM-põhistel distributsioonidel kasutatakse IPv6 portide jaoks ka teistsugust käsku. Reeglite salvestamine toimub ühe kahest käsust:

sudo iptables-save > /etc/sysconfig/iptables. sudo ip6tables-save > /etc/sysconfig/iptables. 

Jälgige kindlasti oma pordikasutust

Aja möödudes võivad teie serveri vajadused muutuda. Täpselt nii nagu peab hoida end kursis kasutajakontodega oma Linuxi masinas peaksite ka oma avatud porte regulaarselt auditeerima. Sulgege kõik avatud pordid, mida enam ei vajata. Koos regulaarselt parooli muutmine, see on hea turbetava, mis aitab teil vältida süsteemi sissetungi ja turvarünnakuid.