Разное

Правила открытия ип: Как открыть ИП в 2021 году пошаговая инструкция для начинающих

20.10.1983

Содержание

Малому бизнесу — Тарифы и документы

А Армавир Амурск Ангарск

Б Бикин Благовещенск Белогорск Биробиджан

В Владивосток

Ванино Вяземский Волгоград Волжский Вологда Воронеж

Д Де-Кастри

Е Екатеринбург

И Иркутск

К Казань Краснодар Красноярск Комсомольск-на-Амуре Калининград Киров

М Москва

Н Нефтекамск Новороссийск

Находка Николаевск-на-Амуре Нижний Новгород Новосибирск Нижний Тагил

О Октябрьский Омск

П Петрозаводск Переяславка

Пермь

Р Ростов-на-Дону Рязань

С Санкт-Петербург Стерлитамак Сегежа Сыктывкар Сочи Ставрополь Советская Гавань

Солнечный Соловьевск Самара Саратов

Т Туймазы Тында Томск Тюмень

У Уфа

Ухта Уссурийск

Х Хабаровск Хор

Ч Чегдомын Челябинск Чита

Ю Южно-Сахалинск

Специальные счета участников закупок | Газпромбанк

Порядок открытия специального счета участника закупок – индивидуального предпринимателя

Для открытия специального счета участника закупок в Банке ГПБ (АО) Вам необходимо:

1) В списке документов ниже найти «Перечень документов для открытия банковских счетов индивидуальным предпринимателям и физическим лицам, занимающимся в установленном законодательством РФ порядке частной практикой», или «Перечень документов для открытия банковских счетов при наличии в Банке (Филиале) других банковских счетов», если Вы — действующий клиент Банка ГПБ (АО), и подобрать необходимые документы.

Обращаем Ваше внимание, что при открытии специального счета участника закупок в дополнительных офисах Банка ГПБ (АО) в г. Москва необходима нотариально заверенная Карточка с образцами подписей и оттиска печати. Если у Вас уже есть открытые банковские счета в Банке ГПБ (АО), возможно использование имеющейся Карточки.

2) Заполнить соответствующие типовые банковские формы:

Для новых клиентов Банка ГПБ (АО) – документы, необходимые для открытия первого счета:

• Договор банковского счета в валюте РФ (специальный счет участника закупок) — в 2 экземплярах.
• Заявление на заключение договора банковского счета с возможностью открытия необходимого количества банковских счетов и открытие банковских счетов — в 1 экземпляре.
• Опросный лист — в 1 экземпляре.
• Сопроводительное письмо на бланке организации – в 1 экземпляре.
• Карточка с образцами подписей и оттиска печати.
• Акцепт оферты Банка ГПБ (АО) на заключение соглашения между Банком ГПБ (АО) и Клиентом – юридическим лицом/индивидуальным предпринимателем о поручении Банку ГПБ (АО) принимать к исполнению документы, содержащие распоряжения Клиента, подписанные в порядке, определенном Клиентом – в 2 экземплярах, предоставляется вместе с Карточкой с образцами подписей и оттиска печати. 

А также заполнить соответствующие Формы самосертификации для целей FATCA/CRS для индивидуальных предпринимателей и физических лиц, занимающихся частной практикой.

Для действующих клиентов Банка ГПБ (АО), документы необходимые для открытия второго и последующих счетов:

• Договор банковского счета в валюте РФ (специальный счет участника закупок) — в 2 экземплярах
• Заявление на заключение договора банковского счета с возможностью открытия необходимого количества банковских счетов и открытие банковских счетов — в 1 экземпляре

3) После сбора необходимых документов и заполнения банковских форм необходимо обратиться в один из специализированных дополнительных офисов в г. Москва для открытия счета:

• Дополнительный офис № 099/1023 — ул. Мясницкая, дом 48.
• Дополнительный офис № 099/1032 — ул. Гримау, дом 6.

Дальнейшее расчетно-кассовое обслуживание банковского счета будет осуществляться в любом удобном для Вас дополнительном офисе Банка ГПБ (АО) по Вашему выбору.

Во всех остальных регионах, после сбора необходимых документов и заполнения банковских форм можно обратиться в любой из дополнительных офисов Банка ГПБ (АО) для открытия счета.

Любые возникшие вопросы Вы можете уточнить в контактном центре Банка ГПБ (АО) по телефону 8 (800) 100-11-89.


Открыть ФЛП (ИП) в Украине в 2021 году: порядок регистрации бизнеса, инструкция

Добавлено в закладки: 0

Конституция Украины разрешает заниматься предпринимательской деятельностью, которая не противоречит законодательству страны. Чтобы открыть ИП в Украине, необходимо подготовить пакет документов и обратиться к государственному регистратору.

Законодательная основа

Право заниматься предпринимательской деятельностью на территории государства закрепляется ст.50 ГК Украины. Заниматься коммерцией можно сразу после регистрации ИП гражданином Украины. Без получения статуса ФЛП предпринимательство считается незаконным.

Перед тем как открыть ИП в Украине необходимо ознакомится с нормативной документацией. Главным новшеством стало упрощение выбора системы налогообложения. Первичная регистрация ИП в Украине по УСН осуществляется путем подачи заявления государственному регистратору. Он самостоятельно отправит сканированную копию документа в органы налогового контроля.

Еще одним изменением является наличие возможности отправлять документы на регистрацию ФЛП в электронном виде. Для этого необходимо иметь электронную подпись (ЭЦП), чтобы можно было подписать заявление. В конце 2015 года Минюст Украины также ввел в действие новые формы регистрационных карточек. Их применение обязательно.

Можно вести торговлю без регистрации ФЛП, если это будет разовое действие и гражданин по итогам года подаст декларацию о доходах в налоговую инспекцию. В противном случае потребуется открывать ИП в Украине.

На видео: Регистрация предприятий в Украине

Документы для открытия

Перед тем как оформить ИП в Украине, необходимо определиться с видом деятельности (КВЕД). Рекомендуется резервировать сразу несколько направлений, поскольку последующее их добавление потребует повторного обращения к регистратору.

Перед обращением в органы регистрации и подачи заявления на открытие ИП в Украине, нужно подготовить следующие документы:

  1. Паспорт.
  2. ИНН.
  3. Регистрационную карточку. Чтобы оформить ИП в Украине требуется ее заполнение.

Перечень документов необходимых для того чтобы зарегистрироваться ИП закреплен Законом №755-IV. Вся документация оформляется на государственном языке. Требовать дополнительные документы регистратору запрещается (ст.18 Закона). При личной подаче документов составляется опись, один экземпляр которой остается у заявителя.

На видео: Бизнес план Фуд Трака Как открыть Фуд Трак в Украине

Как зарегистрироваться

По закону оформлять ИП необходимо по месту прописки заявителя. Однако после получения статуса ФЛП гражданин может осуществлять коммерческую деятельность по всей территории страны.

Заявитель может подать необходимые документы:

  • лично;
  • заказным письмом с описью вложения;
  • электронной почтой.

Если заявитель не может самостоятельно подать документы на регистрацию, то законодатель разрешает оформить нотариальную доверенность. После чего его интересы в органах государственной регистрации будет представлять уполномоченное лицо. При подаче заявления через доверенное лицо последнему также потребуется предъявить паспорт.

Причины, по которым могут отказать в регистрации ФЛП:

  • подача документов происходит не по месту прописки;
  • указанные в карточке сведения не соответствуют действительности;
  • имеются законодательные ограничения на указанный вид деятельности;
  • государственный реестр уже содержит сведения о регистрации гражданина ФЛП.

Регистратор обязан проверить все сведения, подаваемые заявителем в течение 24 часов после получения документов. Если будут обнаружены неточности, документы возвращают не позднее следующего рабочего дня.

На видео: Как сделать бизнес в Украине. ПРАКТИЧЕСКИЕ СОВЕТЫ

Стоимость регистрации

Сколько стоит оформление ИП Украина? Многое зависит от того, кто именно занимается регистраций. Если оформление будет проходить при помощи посредников, то средняя цена подобных услуг составляет от 500 до 2 000 гривен. Конечная стоимость зависит от объема работ и вида деятельности.

Перечень посреднических услуг включает:

Срок регистрации составляет от 7 до 10 дней. Самостоятельное оформление потребует обязательной уплаты регистрационного сбора в размере двух необлагаемых минимумов (34 гривны).

На видео:  Бизнес-план. Как запустить фермерский бизнес в Украине?

Особенности открытия ИП иностранцами

Украинское законодательство разрешает иностранным гражданам развивать собственное дело на территории страны. Чтобы открыть ИП в Украине гражданину России необходимо встать на налоговый учет и получить разрешение на ведение хозяйственной деятельности. Граждане Беларуси, России и иных государств имеют такие же права и обязанности, как и резиденты.

Иностранцу для оформления ИП нужно узаконить факт своего нахождения на территории страны. После получения регистрации по месту жительства, необходимо оформить ИНН, заполнить карточку формы №10, оплатить регистрационный сбор и подать все документы государственному регистратору.

Если гражданин планирует только зарегистрировать ИП, но не работать на территории страны, то ему потребуется дополнительно оформить разрешение на трудоустройство в областном центре занятости.

Налогообложение

При открытии собственного бизнеса нужно определиться с системой налогообложения. ИП из Украины налоги платят по общей или упрощенной системе.

Разница между этими налоговыми режимами заключается в следующем:

При решении работать по общей системе придется регистрировать в налоговых органах Книгу учета доходов и расходов до момента получения первой прибыли (ст.177 НК Украины). Для осуществления деятельности по УСН понадобится только Книга учета доходов.

Iptables Essentials: общие правила и команды межсетевого экрана

Введение

Iptables — это программный брандмауэр для дистрибутивов Linux. Это руководство в виде шпаргалки содержит краткий справочник по командам iptables, которые создают правила брандмауэра, полезные в обычных повседневных сценариях. Сюда входят примеры iptables разрешения и блокировки различных служб по порту, сетевому интерфейсу и исходному IP-адресу.

Как использовать это руководство
  • Большинство правил, описанных здесь, предполагают, что ваш iptables установлен на DROP входящий трафик через политику ввода по умолчанию, и вы хотите выборочно разрешить входящий трафик
  • Используйте те последующие разделы, которые применимы к тому, чего вы пытаетесь достичь.Большинство разделов не основаны на каких-либо других, поэтому вы можете использовать приведенные ниже примеры независимо.
  • Используйте меню «Содержание» в правой части этой страницы (при широкой ширине страницы) или функцию поиска в браузере, чтобы найти нужные разделы.
  • Скопируйте и вставьте приведенные примеры командной строки, заменив выделенные значения своими собственными

Имейте в виду, что порядок ваших правил имеет значение. Все эти команды iptables используют параметр -A для добавления нового правила в конец цепочки.Если вы хотите поместить его в другое место в цепочке, вы можете использовать опцию -I , которая позволяет вам указать позицию нового правила (или поместить его в начало цепочки, не указывая номер правила).

Примечание: При работе с брандмауэрами старайтесь не блокировать доступ к собственному серверу, блокируя трафик SSH (порт 22 по умолчанию). Если вы потеряете доступ из-за настроек брандмауэра, вам может потребоваться подключиться к нему через веб-консоль, чтобы исправить ваш доступ.Если вы используете DigitalOcean, вы можете прочитать нашу документацию по продукту Recovery Console для получения дополнительной информации. После подключения через консоль вы можете изменить правила брандмауэра, чтобы разрешить доступ по SSH (или разрешить весь трафик). Если ваши сохраненные правила брандмауэра разрешают доступ по SSH, другой способ — перезагрузить сервер.

Помните, что вы можете проверить текущий набор правил iptables с помощью sudo iptables -S и sudo iptables -L .

Давайте посмотрим на команды iptables!

Правила сохранения

Правила

Iptables недолговечны, что означает, что их нужно сохранять вручную, чтобы они сохранялись после перезагрузки.

В Ubuntu один из способов сохранить правила iptables — использовать пакет iptables-persistent . Установите его с помощью apt следующим образом:

  
  • sudo apt установить iptables-persistent

Во время установки вас спросят, хотите ли вы сохранить текущие правила брандмауэра.

Если вы обновляете правила брандмауэра и хотите сохранить изменения, запустите эту команду:

  
  • sudo netfilter-постоянное сохранение

В других дистрибутивах Linux могут быть альтернативные способы сделать ваши изменения iptables постоянными.Пожалуйста, обратитесь к соответствующей документации для получения дополнительной информации.

Правила листинга и удаления

Если вы хотите узнать, как составлять список и удалять правила iptables, ознакомьтесь с этим руководством: Как составить список и удалить правила брандмауэра Iptables.

Общие полезные правила

Этот раздел включает множество команд iptables, которые создают правила, которые обычно полезны на большинстве серверов.

Разрешение петлевых подключений

Интерфейс loopback , также называемый lo , — это то, что компьютер использует для пересылки сетевых подключений самому себе.Например, если вы запустите ping localhost или ping 127.0.0.1 , ваш сервер будет пинговать сам себя с помощью обратной связи. Интерфейс обратной связи также используется, если вы настраиваете сервер приложений для подключения к серверу базы данных с адресом localhost . Таким образом, вы должны быть уверены, что ваш брандмауэр разрешает эти подключения.

Чтобы принять весь трафик на вашем интерфейсе обратной связи, выполните следующие команды:

  
  • sudo iptables -A ВВОД -i lo -j ПРИНЯТЬ
  • sudo iptables -A ВЫХОД -o lo -j ПРИНЯТЬ

Разрешение установленных и связанных входящих подключений

Поскольку для правильной работы сетевой трафик обычно должен быть двусторонним — входящим и исходящим, обычно создается правило брандмауэра, которое разрешает установленный и связанный входящий трафик , чтобы сервер разрешал обратный трафик для исходящего. соединения, инициированные самим сервером.Эта команда позволит:

  
  • sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT

Разрешение установленных исходящих соединений

Вы можете разрешить исходящий трафик для всех установленных соединений , которые обычно являются ответом на допустимые входящие соединения. Эта команда позволит:

  
  • sudo iptables -A ВЫХОД -m conntrack --ctstate ESTABLISHED -j ACCEPT

Разрешение внутренней сети доступа к внешней

Предполагая, что eth0 — ваша внешняя сеть, а eth2 — ваша внутренняя сеть, это позволит вашей внутренней сети получить доступ к внешней:

  
  • sudo iptables -A ВПЕРЕД -i eth2 -o eth0 -j ПРИНЯТЬ

Удаление недействительных пакетов

Некоторые пакеты сетевого трафика помечаются как недопустимые .Иногда может быть полезно регистрировать этот тип пакетов, но часто их можно отбросить. Сделайте это с помощью этой команды:

  
  • sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

Блокировка IP-адреса

Чтобы заблокировать сетевые подключения, которые исходят с определенного IP-адреса, например, 203.0.113.51 , выполните следующую команду:

  
  • sudo iptables -A INPUT -s 203.0.113.51 -j DROP

В этом примере -s 203.0.113.51 указывает IP-адрес источника «203.0.113.51». Исходный IP-адрес может быть указан в любом правиле брандмауэра, включая правило , разрешить .

Если вы хотите, чтобы отклонил соединение вместо этого, которое ответит на запрос соединения с ошибкой «соединение отклонено», замените «DROP» на «REJECT» следующим образом:

  
  • sudo iptables -A INPUT -s 203.0.113.51 -j REJECT

Блокировка подключений к сетевому интерфейсу

Чтобы заблокировать соединения с определенного IP-адреса, e.грамм. 203.0.113.51 , к определенному сетевому интерфейсу, например eth0 , используйте эту команду:

  
  • iptables -A INPUT -i eth0 -s 203.0.113.51 -j DROP

То же, что и в предыдущем примере, с добавлением -i eth0 . Сетевой интерфейс можно указать в любом правиле брандмауэра, и это отличный способ ограничить правило определенной сетью.

Сервис: SSH

Если вы используете сервер без локальной консоли, вы, вероятно, захотите разрешить входящие соединения SSH (порт 22), чтобы вы могли подключаться к серверу и управлять им.В этом разделе рассказывается, как настроить брандмауэр с использованием различных правил, связанных с SSH.

Разрешить все входящие SSH

Чтобы разрешить все входящие SSH-соединения, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений SSH, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешение входящего SSH с определенного IP-адреса или подсети

Чтобы разрешить входящие SSH-соединения с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю подсеть 203.0.113.0/24 , выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 22 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений SSH, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешение исходящего SSH

Если для вашей политики брандмауэра OUTPUT не задано значение ACCEPT , и вы хотите разрешить исходящие SSH-соединения (ваш сервер инициирует SSH-соединение с другим сервером), вы можете выполнить следующие команды:

  
  • sudo iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Разрешение входящей Rsync с определенного IP-адреса или подсети

Rsync, работающий на порту 873, можно использовать для передачи файлов с одного компьютера на другой.

Чтобы разрешить входящие соединения rsync с определенного IP-адреса или подсети, укажите исходный IP-адрес и порт назначения. Например, если вы хотите разрешить всей подсети 203.0.113.0/24 иметь возможность rsync с вашим сервером, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 873 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 873 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений rsync, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Сервис: Веб-сервер

Веб-серверы

, такие как Apache и Nginx, обычно прослушивают запросы на портах 80 и 443 для соединений HTTP и HTTPS соответственно. Если ваша политика по умолчанию для входящего трафика настроена на отбрасывание или отклонение, вы захотите создать правила, которые позволят вашему серверу отвечать на эти запросы.

Разрешить все входящие HTTP

Чтобы разрешить все входящие HTTP-соединения (порт 80), выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений HTTP, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешить все входящие HTTPS

Чтобы разрешить все входящие соединения HTTPS (порт 443), выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений HTTP, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешить все входящие HTTP и HTTPS

Если вы хотите разрешить трафик HTTP и HTTPS, вы можете использовать многопортовый модуль для создания правила, разрешающего оба порта. Чтобы разрешить все входящие соединения HTTP и HTTPS (порт 443), выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик для установленных соединений HTTP и HTTPS, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Сервис: MySQL

MySQL прослушивает клиентские подключения на порту 3306. Если ваш сервер базы данных MySQL используется клиентом на удаленном сервере, вы должны обязательно разрешить этот трафик.

Разрешение MySQL с определенного IP-адреса или подсети

Чтобы разрешить входящие соединения MySQL с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю подсеть 203.0.113.0/24 , выполните следующие команды:

  
  • sudo iptables -A ВВОД -p tcp -s 203.0.113.0 / 24 --dport 3306 -m conntrack --ctstate НОВОЕ, УСТАНОВЛЕННОЕ -j ПРИНЯТЬ
  • sudo iptables -A ВЫХОД -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений MySQL, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешение MySQL на определенный сетевой интерфейс

Чтобы разрешить MySQL-подключения к определенному сетевому интерфейсу — скажем, у вас есть частный сетевой интерфейс eth2 , например, — используйте следующие команды:

  
  • sudo iptables -A INPUT -i eth2 -p tcp --dport 3306 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -o eth2 -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений MySQL, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Служба: PostgreSQL

PostgreSQL прослушивает клиентские подключения на порту 5432. Если ваш сервер базы данных PostgreSQL используется клиентом на удаленном сервере, вам необходимо убедиться, что этот трафик разрешен.

PostgreSQL с определенного IP-адреса или подсети

Чтобы разрешить входящие соединения PostgreSQL с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю подсеть 203.0.113.0/24 , выполните следующие команды:

  
  • sudo iptables -A ВВОД -p tcp -s 203.0.113.0 / 24 --dport 5432 -m conntrack --ctstate НОВОЕ, УСТАНОВЛЕННОЕ -j ПРИНЯТЬ
  • sudo iptables -A ВЫХОД -p tcp --sport 5432 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений с PostgreSQL , необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешение PostgreSQL для определенного сетевого интерфейса

Чтобы разрешить подключения PostgreSQL к определенному сетевому интерфейсу (например, у вас есть частный сетевой интерфейс eth2 ), используйте следующие команды:

  
  • sudo iptables -A INPUT -i eth2 -p tcp --dport 5432 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -o eth2 -p tcp --sport 5432 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений с PostgreSQL , необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Сервис: почта

Почтовые серверы, такие как Sendmail и Postfix, прослушивают различные порты в зависимости от протоколов, используемых для доставки почты. Если вы используете почтовый сервер, определите, какие протоколы вы используете, и разрешите соответствующие типы трафика. Мы также покажем вам, как создать правило для блокировки исходящей почты SMTP.

Блокировка исходящей почты SMTP

Если ваш сервер не должен отправлять исходящую почту, вы можете заблокировать такой трафик.Чтобы заблокировать исходящую почту SMTP, которая использует порт 25, выполните эту команду:

  
  • sudo iptables -A ВЫХОД -p tcp --dport 25 -j ОТКАЗАТЬ

Это настраивает iptables на , чтобы отклонить весь исходящий трафик на порт 25. Если вам нужно отклонить другую службу по ее номеру порта, вместо порта 25, замените этот номер порта на 25 выше.

Разрешить весь входящий SMTP

Чтобы сервер мог отвечать на SMTP-соединения через порт 25, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик для установленных подключений SMTP, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешить все входящие IMAP

Чтобы сервер отвечал на соединения IMAP, порт 143, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 143 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 143 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик для установленных соединений IMAP, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешение всех входящих IMAPS

Чтобы сервер мог отвечать на соединения IMAPS, порт 993, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 993 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 993 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений IMAPS, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешить все входящие POP3

Чтобы сервер мог отвечать на соединения POP3, порт 110, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 110 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 110 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений POP3, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Разрешить все входящие POP3S

Чтобы сервер мог отвечать на соединения POP3S, порт 995, выполните следующие команды:

  
  • sudo iptables -A INPUT -p tcp --dport 995 -m conntrack --ctstate NEW, ESTABLISHED -j ACCEPT
  • sudo iptables -A ВЫХОД -p tcp --sport 995 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Вторая команда, которая разрешает исходящий трафик установленных соединений POP3S, необходима только в том случае, если для политики OUTPUT не задано значение ACCEPT .

Заключение

Это должно охватывать многие команды, которые обычно используются при настройке межсетевого экрана iptables. Конечно, iptables — очень гибкий инструмент, поэтому не стесняйтесь смешивать и сопоставлять команды с различными параметрами в соответствии с вашими конкретными потребностями, если они не описаны здесь.

Если вам нужна помощь в определении того, как следует настроить брандмауэр, ознакомьтесь с этим руководством: Как выбрать эффективную политику брандмауэра для защиты серверов.

UFW Essentials: общие правила и команды межсетевого экрана

Введение

UFW ( u ncomplicated f ire w all) — это инструмент настройки брандмауэра, который работает поверх iptables , включенного по умолчанию в дистрибутивы Ubuntu.Он предоставляет упрощенный интерфейс для настройки распространенных вариантов использования брандмауэра через командную строку.

Это руководство в виде шпаргалки содержит краткий справочник по распространенным сценариям использования и командам UFW, включая примеры того, как разрешать и блокировать службы по порту, сетевому интерфейсу и IP-адресу источника.

Как использовать это руководство
  • Это руководство в формате шпаргалки с отдельными фрагментами командной строки.
  • Перейти к любому разделу, имеющему отношение к задаче, которую вы пытаетесь выполнить.
  • Когда вы видите выделенный текст в командах этого руководства, имейте в виду, что этот текст должен относиться к IP-адресам из вашей собственной сети.

Помните, что вы можете проверить свой текущий набор правил UFW с помощью sudo ufw status или sudo ufw status verbose .

Проверить статус UFW

Чтобы проверить, включен ли ufw , запустите:

  
  

Выход

Статус: неактивен

В выходных данных будет указано, активен ли ваш брандмауэр.

Включить UFW

Если вы получили сообщение Status: inactive при запуске ufw status , это означает, что брандмауэр еще не включен в системе. Вам нужно будет запустить команду, чтобы включить его.

По умолчанию при включении UFW блокирует внешний доступ ко всем портам на сервере. На практике это означает, что если вы подключены к серверу через SSH и активируете ufw перед тем, как разрешить доступ через порт SSH, вы будете отключены. Перед включением брандмауэра обязательно ознакомьтесь с разделом о том, как включить доступ по SSH в этом руководстве, если это ваш случай.

Чтобы включить UFW в вашей системе, запустите:

  

Вы увидите следующий результат:

  

Выход

Межсетевой экран активен и включается при запуске системы

Чтобы узнать, что в настоящее время заблокировано или разрешено, вы можете использовать подробный параметр при запуске ufw status , как показано ниже:

  
  

Выход

Статус: активен Ведение журнала: включено (низкое) По умолчанию: deny (входящий), allow (исходящий), deny (маршрутизируемый) Новые профили: пропустить

Отключить UFW

Если по какой-то причине вам нужно отключить UFW, вы можете сделать это с помощью следующей команды:

  

Имейте в виду, что эта команда полностью отключит службу брандмауэра в вашей системе.

Блокировать IP-адрес

Чтобы заблокировать все сетевые подключения, исходящие с определенного IP-адреса, выполните следующую команду, заменив выделенный IP-адрес на IP-адрес, который вы хотите заблокировать:

  
  • sudo ufw deny from 203.0.113.100
  

Выход

Правило добавлено

В этом примере из 203.0.113.100 указывает IP-адрес источника «203.0.113.100 ”.

Если вы сейчас запустите sudo ufw status , вы увидите, что указанный IP-адрес указан как запрещенный:

  

Выход

Статус: активен К действию от - ------ ---- Anywhere DENY 203.0.113.100

Все входящие и исходящие соединения блокируются для указанного IP-адреса.

Блокировать подсеть

Если вам нужно заблокировать всю подсеть, вы можете использовать адрес подсети как из параметра в команде ufw deny .Это заблокирует все IP-адреса в подсети примера 203.0.113.0/24 :

  
  • sudo ufw deny from 203.0.113.0/24
  

Выход

Правило добавлено

Блокировать входящие подключения к сетевому интерфейсу

Чтобы заблокировать входящие подключения с определенного IP-адреса к определенному сетевому интерфейсу, выполните следующую команду, заменив выделенный IP-адрес на IP-адрес, который вы хотите заблокировать:

  
  • sudo ufw deny in on eth0 из 203.0,113,100
  

Выход

Правило добавлено

Параметр в указывает ufw применять правило только для входящих соединений , а параметр на eth0 указывает, что правило применяется только для интерфейса eth0 . Это может быть полезно, если у вас есть система с несколькими сетевыми интерфейсами (включая виртуальные), и вам нужно заблокировать внешний доступ к некоторым из этих интерфейсов, но не ко всем.

Разрешить IP-адрес

Чтобы разрешить все сетевые подключения, которые происходят с определенного IP-адреса, выполните следующую команду, заменив выделенный IP-адрес на IP-адрес, к которому вы хотите разрешить доступ:

  
  • sudo ufw разрешить от 203.0.113.101
  

Выход

Правило добавлено

Если вы сейчас запустите sudo ufw status , вы увидите результат, похожий на этот, со словом ALLOW рядом с только что добавленным IP-адресом.

  

Выход

Статус: активен К действию от - ------ ---- ... Везде РАЗРЕШИТЬ 203.0.113.101

Вы также можете разрешить соединения из всей подсети, указав соответствующую маску подсети для хоста, например 203.0.113.0/24 .

Разрешить входящие подключения к сетевому интерфейсу

Чтобы разрешить входящие подключения с определенного IP-адреса к определенному сетевому интерфейсу, выполните следующую команду, заменив выделенный IP-адрес на IP-адрес, который вы хотите разрешить:

  
  • sudo ufw разрешить на eth0 с 203.0,113,102
  

Выход

Правило добавлено

Параметр в указывает ufw применять правило только для входящих соединений , а параметр на eth0 указывает, что правило применяется только для интерфейса eth0 .

Если вы сейчас запустите sudo ufw status , вы увидите следующий результат:

  

Выход

Статус: активен К действию от - ------ ---- ... Куда угодно на eth0 РАЗРЕШИТЬ 203.0.113.102

Удалить правило UFW

Чтобы удалить правило, которое вы ранее установили в UFW, используйте ufw delete , за которым следует правило ( разрешить или запретить ) и целевую спецификацию. В следующем примере будет удалено правило, ранее заданное для разрешения всех подключений с IP-адреса 203.0.113.101 :

.
  
  • sudo ufw удалить разрешить из 203.0,113,101
  

Выход

Правило удалено

Другой способ указать, какое правило вы хотите удалить, — это указать идентификатор правила. Эту информацию можно получить с помощью следующей команды:

  
  

Выход

Статус: активен К действию от - ------ ---- [1] Anywhere DENY IN 203.0.113.100 [2] Где угодно на eth0 ALLOW IN 203.0,113,102

Из вывода видно, что есть два активных правила. Первое правило с выделенными значениями запрещает все соединения, исходящие с IP-адреса 203.0.113.100 . Второе правило разрешает подключения к интерфейсу eth0 , поступающие с IP-адреса 203.0.113.102 .

Поскольку по умолчанию UFW уже блокирует весь внешний доступ, если это явно не разрешено, первое правило является избыточным, поэтому вы можете удалить его.Чтобы удалить правило по его идентификатору, запустите:

  

Вам будет предложено подтвердить операцию и убедиться, что предоставленный вами идентификатор соответствует правильному правилу, которое вы хотите удалить.

  

Выход

Удаление: отказать из 203.0.113.100 Продолжить операцию (y | n)? у Правило удалено

Если вы снова внесете в список свои правила с sudo ufw status , вы увидите, что правило было удалено.

Список доступных профилей приложений

После установки приложения, которые полагаются на сетевое взаимодействие, обычно устанавливают профиль UFW, который можно использовать для разрешения подключения с внешних адресов.Часто это то же самое, что запуск ufw allow из , с преимуществом предоставления ярлыка, который абстрагирует конкретные номера портов, используемых службой, и предоставляет удобную номенклатуру для связанных служб.

Чтобы вывести список доступных в настоящее время профилей, запустите следующее:

  

Если вы установили такую ​​службу, как веб-сервер или другое сетевое программное обеспечение, а профиль не был доступен в UFW, сначала убедитесь, что служба включена.Для удаленных серверов обычно всегда доступен OpenSSH:

.
  

Выход

Доступные приложения: OpenSSH

Включить профиль приложения

Чтобы включить профиль приложения UFW, запустите ufw allow , за которым следует имя профиля приложения, который вы хотите включить, которое можно получить с помощью команды sudo ufw app list . В следующем примере мы включаем профиль OpenSSH, который разрешает все входящие SSH-соединения через порт SSH по умолчанию.

  
  • sudo ufw разрешить «OpenSSH»
  

Выход

Правило добавлено Правило добавлено (v6)

Не забывайте заключать в кавычки имена профилей, состоящие из нескольких слов, например Nginx HTTPS .

Отключить профиль приложения

Чтобы отключить профиль приложения, который вы ранее настроили в UFW, вам нужно удалить соответствующее правило. Например, рассмотрим следующий вывод sudo ufw status :

  
  

Выход

Статус: активен К действию от - ------ ---- OpenSSH РАЗРЕШИТЬ В любом месте Nginx Full ALLOW Anywhere OpenSSH (v6) РАЗРЕШИТЬ В любом месте (v6) Nginx Full (v6) РАЗРЕШИТЬ В любом месте (v6)

Эти выходные данные показывают, что профиль приложения Nginx Full в настоящее время включен, разрешая любые и все подключения к веб-серверу как через HTTP, так и через HTTPS.Если вы хотите разрешить только HTTPS-запросы от и к вашему веб-серверу, вам нужно сначала включить наиболее ограничивающее правило, которым в данном случае будет Nginx HTTPS , а затем отключить текущий активный Nginx Full правило:

  
  • sudo ufw разрешить "Nginx HTTPS"
  • sudo ufw delete allow "Nginx Full"

Помните, что вы можете перечислить все доступные профили приложений с помощью sudo ufw app list .

Разрешить SSH

При работе с удаленными серверами вы должны убедиться, что порт SSH открыт для подключений, чтобы вы могли удаленно входить на свой сервер.

Следующая команда включит профиль приложения OpenSSH UFW и разрешит все подключения к порту SSH по умолчанию на сервере:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Хотя и менее удобен для пользователя, альтернативный синтаксис заключается в указании точного номера порта службы SSH, который обычно по умолчанию установлен на 22 :

  
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить входящий SSH с определенного IP-адреса или подсети

Чтобы разрешить входящие соединения с определенного IP-адреса или подсети, вы должны включить директиву из , чтобы определить источник соединения.Это потребует, чтобы вы также указали адрес назначения с параметром от до . Чтобы заблокировать это правило только для SSH, вы ограничите proto (протокол) до tcp , а затем используйте параметр port и установите его на 22 , порт SSH по умолчанию.

Следующая команда разрешит только SSH-соединения, поступающие с IP-адреса 203.0.113.103 :

  
  • sudo ufw разрешить протокол TCP 203.0.113.103 на любой порт 22
  

Выход

Правило добавлено

Вы также можете использовать адрес подсети в качестве параметра из , чтобы разрешить входящие SSH-соединения со всей сети:

  
  • sudo ufw разрешить от 203.0.113.0 / 24 протокол TCP на любой порт 22
  

Выход

Правило добавлено

Разрешить входящую Rsync с определенного IP-адреса или подсети

Программа Rsync, работающая на порту 873 , может использоваться для передачи файлов с одного компьютера на другой.

Чтобы разрешить входящие соединения rsync с определенного IP-адреса или подсети, используйте параметр из , чтобы указать исходный IP-адрес, и параметр порт , чтобы установить порт назначения 873 .
Следующая команда разрешит только Rsync-соединения, поступающие с IP-адреса 203.0.113.103 :

  
  • sudo ufw разрешить с 203.0.113.103 на любой порт 873
  

Выход

Правило добавлено

Чтобы разрешить всей подсети 203.0.113.0/24 иметь возможность rsync на ваш сервер, запустите:

  
  • sudo ufw разрешить с 203.0.113.0/24 на любой порт 873
  

Выход

Правило добавлено

Разрешить Nginx HTTP / HTTPS

После установки веб-сервер Nginx настраивает несколько различных профилей UFW на сервере.После установки и включения Nginx в качестве службы выполните следующую команду, чтобы определить, какие профили доступны:

  
  • список приложений sudo ufw | grep Nginx
  

Выход

Nginx Full Nginx HTTP Nginx HTTPS

Чтобы включить трафик HTTP и HTTPS, выберите Nginx Full . В противном случае выберите Nginx HTTP , чтобы разрешить только HTTP, или Nginx HTTPS , чтобы разрешить только HTTPS.

Следующая команда разрешит трафик HTTP и HTTPS на сервере (порты 80 и 443 ):

  
  • sudo ufw разрешить "Nginx Full"
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить Apache HTTP / HTTPS

После установки веб-сервер Apache настраивает несколько различных профилей UFW на сервере. После установки и включения Apache в качестве службы выполните следующую команду, чтобы определить, какие профили доступны:

  
  • список приложений sudo ufw | grep Apache
  

Выход

Apache Apache Full Apache Secure

Чтобы включить трафик HTTP и HTTPS, выберите Apache Full .В противном случае выберите Apache для HTTP или Apache Secure для HTTPS.

Следующая команда разрешит трафик HTTP и HTTPS на сервере (порты 80 и 443 ):

  
  • sudo ufw разрешить "Nginx Full"
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить весь входящий HTTP (порт

80 ) Веб-серверы

, такие как Apache и Nginx, обычно прослушивают HTTP-запросы через порт 80 .Если ваша политика по умолчанию для входящего трафика настроена на отбрасывание или отклонение, вам необходимо создать правило UFW, чтобы разрешить внешний доступ через порт 80 . В качестве параметра этой команды можно использовать номер порта или имя службы ( http ).

Чтобы разрешить все входящие HTTP-соединения (порт 80 ), запустите:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Альтернативный синтаксис — указать номер порта службы HTTP:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить все входящие HTTPS (порт

443 )

HTTPS обычно работает на порту 443 .Если ваша политика по умолчанию для входящего трафика настроена на отбрасывание или отклонение, вам необходимо создать правило UFW, чтобы разрешить внешний доступ через порт 443 . В качестве параметра этой команды можно использовать номер порта или имя службы ( https ).

Чтобы разрешить все входящие HTTPS-соединения (порт 443 ), запустите:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Альтернативный синтаксис — указать номер порта службы HTTPS:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить все входящие HTTP и HTTPS

Если вы хотите разрешить трафик HTTP и HTTPS, вы можете создать одно правило, разрешающее оба порта.Это использование требует, чтобы вы также определили протокол с параметром proto , который в этом случае должен быть установлен на tcp .

Чтобы разрешить все входящие соединения HTTP и HTTPS (порты 80 и 443 ), запустите:

  
  • sudo ufw разрешить протокол TCP с любого порта на любой 80,443
  

Выход

Правило добавлено Правило добавлено (v6)

Разрешить подключение к MySQL с определенного IP-адреса или подсети

MySQL прослушивает клиентские подключения на порту 3306 .Если ваш сервер базы данных MySQL используется клиентом на удаленном сервере, вам необходимо создать правило UFW, чтобы разрешить такой доступ.

Чтобы разрешить входящие соединения MySQL с определенного IP-адреса или подсети, используйте параметр из , чтобы указать исходный IP-адрес, и параметр порт , чтобы установить порт назначения 3306 .

Следующая команда позволит IP-адресу 203.0.113.103 подключиться к порту MySQL сервера:

  
  • sudo ufw разрешить от 203.0.113.103 на любой порт 3306
  

Выход

Правило добавлено

Чтобы вся подсеть 203.0.113.0/24 могла подключаться к вашему серверу MySQL, запустите:

  
  • sudo ufw разрешить с 203.0.113.0/24 на любой порт 3306
  

Выход

Правило добавлено

Разрешить подключение к PostgreSQL с определенного IP-адреса или подсети

PostgreSQL прослушивает клиентские подключения на порту 5432 .Если ваш сервер базы данных PostgreSQL используется клиентом на удаленном сервере, вы должны обязательно разрешить этот трафик.

Чтобы разрешить входящие соединения PostgreSQL с определенного IP-адреса или подсети, укажите источник с параметром из и установите порт на 5432 :

  
  • sudo ufw разрешить с 203.0.113.103 на любой порт 5432
  

Выход

Правило добавлено

Чтобы разрешить весь 203.Подсеть 0.113.0 / 24 для подключения к серверу PostgreSQL, запустите:

  
  • sudo ufw разрешить с 203.0.113.0/24 на любой порт 5432
  

Выход

Правило добавлено

Блокировать исходящую почту SMTP

Почтовые серверы, такие как Sendmail и Postfix, обычно используют порт 25 для SMTP-трафика. Если ваш сервер не должен отправлять исходящую почту, вы можете заблокировать такой трафик. Чтобы заблокировать исходящие SMTP-соединения, запустите:

  
  

Выход

Правило добавлено Правило добавлено (v6)

Это настраивает ваш брандмауэр на отбрасывать весь исходящий трафик на порт 25 .Если вам нужно отклонить исходящие соединения на другом номере порта, вы можете повторить эту команду и заменить 25 номером порта, который вы хотите заблокировать.

Заключение

UFW — это мощный инструмент, который может значительно повысить безопасность ваших серверов при правильной настройке. В этом справочном руководстве описаны некоторые общие правила UFW, которые часто используются для настройки брандмауэра в Ubuntu.

Большинство команд в этом руководстве можно адаптировать для различных вариантов использования и сценариев, изменив такие параметры, как исходный IP-адрес и / или порт назначения.Для получения более подробной информации о каждом параметре команды и доступных модификаторах вы можете использовать утилиту man , чтобы проверить руководство UFW:

  

Официальная страница UFW в документации Ubuntu — еще один ресурс, который вы можете использовать в качестве справочника для более сложных случаев использования и примеров.

Рекомендации по настройке правил межсетевого экрана —

Рекомендации по настройке правил брандмауэра

Последнее обновление: 2020-04-16

Автор: Rose Contreras


При изменении конфигурации брандмауэра важно учитывать потенциальные риски безопасности, чтобы избежать проблем в будущем.Безопасность — это сложная тема, которая может варьироваться от случая к случаю, но в этой статье описываются передовые методы настройки правил брандмауэра периметра.

Блокировать по умолчанию

Блокировать весь трафик по умолчанию и явно разрешать только определенный трафик для известных служб. Эта стратегия обеспечивает хороший контроль над трафиком и снижает вероятность нарушения из-за неправильной конфигурации службы.

Этого поведения можно добиться, настроив последнее правило в списке управления доступом на запрет всего трафика.Вы можете сделать это явно или неявно, в зависимости от платформы.

Разрешить определенный трафик

Правила, которые вы используете для определения доступа к сети, должны быть как можно более конкретными. Эта стратегия является принципом наименьших привилегий , и она принудительно контролирует сетевой трафик. Укажите в правилах как можно больше параметров.

Межсетевой экран уровня 4 использует следующие параметры для правила доступа:

  • IP-адрес источника (или диапазон IP-адресов)
  • IP-адрес назначения (или диапазон IP-адресов)
  • Порт назначения (или диапазон портов)
  • Протокол трафика (TCP, ICMP или UDP)

Укажите как можно больше параметров в правиле, используемом для определения доступа к сети.Есть ограниченные сценарии, в которых или используется в любом из этих полей.

Укажите IP-адреса источника

Если служба должна быть доступна для всех в Интернете, то любой исходный IP-адрес является правильным вариантом. Во всех остальных случаях следует указывать исходный адрес.

Допустимо разрешить всем исходным адресам доступ к вашему HTTP-серверу. Недопустимо разрешать всем исходным адресам доступ к портам управления вашим сервером или портам базы данных.Ниже приведен список общих портов управления сервером и портов базы данных:

Порты управления сервером:

  • Linux®SSH: порт 22
  • Windows® RDP: порт 3389

Порты базы данных:

  • SQL® Server: порт 1433
  • Oracle®: порт 1521
  • MySQL®: Порт 2206

Укажите, кто может получить доступ к этим портам. Когда нецелесообразно определять исходные IP-адреса для управления сетью, вы можете рассмотреть другое решение, такое как VPN с удаленным доступом, в качестве компенсирующего элемента управления, обеспечивающего требуемый доступ и защищающего вашу сеть.

Укажите IP-адрес назначения

IP-адрес назначения — это IP-адрес сервера, на котором запущена служба, к которой вы хотите разрешить доступ. Всегда указывайте, какой сервер или серверы доступны. Настройка значения назначения для любого может привести к нарушению безопасности или компрометации сервера неиспользуемого протокола, который может быть доступен по умолчанию. Однако IP-адреса назначения со значением назначения или могут использоваться, если брандмауэру назначен только один IP-адрес.Значение , любое значение также можно использовать, если вы хотите, чтобы к вашей конфигурации были доступны как общий, так и servicenet .

Укажите порт назначения

Порт назначения соответствует доступной службе. Это значение этого поля никогда не должно быть или . Определена служба, которая работает на сервере и к которой необходимо получить доступ, и только этот порт должен быть разрешен. Разрешение всех портов влияет на безопасность сервера, разрешая атаки по словарю, а также использование любого порта и протокола, настроенного на сервере.

Избегайте использования слишком широкого диапазона портов. Если используются динамические порты, брандмауэры иногда предлагают политики проверки, чтобы безопасно пропустить их.

Примеры опасных конфигураций

В этом разделе описаны опасные примеры правил брандмауэра, но также показаны некоторые альтернативные хорошие правила, которым следует следовать при настройке правил брандмауэра.

allow ip any any — разрешает весь трафик из любого источника на любой порт в любое место назначения. Это худший тип правила контроля доступа.Это противоречит обеим концепциям безопасности: запрет трафика по умолчанию, и принципу наименьших привилегий. Всегда следует указывать порт назначения и, если возможно, указывать IP-адрес назначения. Следует указать исходный IP-адрес, если приложение не создано для приема клиентов из Интернета, например веб-сервера. Хорошим правилом будет разрешить tcp любой WEB-SERVER1 http .

allow ip any any any WEB-SERVER1 — разрешает весь трафик из любого источника на веб-сервер.Должны быть разрешены только определенные порты; в случае веб-сервера — порты 80 (HTTP) и 443 (HTTPS). В противном случае управление сервером будет уязвимо. Хорошее правило: разрешить ip any WEB-SERVER1 http .

allow tcp any WEB-SERVER1 3389 — Разрешает доступ RDP к веб-серверу из любого источника. Разрешить всем доступ к вашим портам управления — опасная практика. Укажите, кто может получить доступ к управлению сервером. Хорошим правилом будет разрешение tcp 12.34.56.78 3389 WEB-SERVER1 (где 12.34.56.78 — IP-адрес компьютера администратора в Интернете).

allow tcp any DB-SERVER1 3306 — разрешает доступ MySQL из любого источника к базе данных. Серверы баз данных никогда не должны быть открыты для доступа ко всему Интернету. Если вам нужно, чтобы запросы к базе данных выполнялись через общедоступный Интернет, укажите точный исходный IP-адрес. Хорошим правилом будет allow tcp 23.45.67.89 DB-SERVER1 3306 (где 23.45.67.89 — это IP-адрес узла в Интернете, которому требуется доступ к базе данных). Лучшей практикой было бы разрешить трафик базы данных через VPN, а не в виде открытого текста через общедоступный Интернет.

Если вам нужна помощь во внедрении этих передовых методов, обратитесь в службу поддержки Rackspace.

13,14. Переадресация IP и межсетевой экран

13.14. Перенаправление IP и межсетевой экран

По умолчанию весь входящий трафик на общедоступный IP-адрес отклоняется. Весь исходящий трафик от гостей также по умолчанию заблокирован.

Чтобы разрешить входящий трафик, пользователи могут настроить правила брандмауэра и / или правила переадресации портов. Например, вы можете использовать правило брандмауэра, чтобы открыть диапазон портов на общедоступном IP-адресе, например с 33 по 44. Затем используйте правила переадресации портов, чтобы направить трафик с отдельных портов в этом диапазоне на определенные порты на пользовательских виртуальных машинах. Например, одно правило переадресации портов может направлять входящий трафик с порта 33 общедоступного IP-адреса на порт 100 на частном IP-адресе одной пользовательской виртуальной машины. Для получения дополнительной информации см. Раздел 13.14.2, «Правила межсетевого экрана» и Раздел 13.14.3, «Перенаправление портов».

13.14.1. Создание исходящих правил межсетевого экрана в расширенной зоне

Правила исходящего брандмауэра поддерживаются только на виртуальных маршрутизаторах.

Исходящий трафик исходит из частной сети в общедоступную, например Интернет. По умолчанию исходящий трафик блокируется, поэтому исходящий трафик из гостевой сети в Интернет запрещен. Однако вы можете контролировать исходящий трафик в расширенной зоне, создав правила выходного брандмауэра.Когда применяется исходящее правило брандмауэра, трафик, специфичный для этого правила, разрешается, а оставшийся трафик блокируется. Когда все правила брандмауэра удалены, применяется политика по умолчанию — Блокировать.

Рассмотрим следующие сценарии применения исходящих правил брандмауэра:

  • Разрешить исходящий трафик от указанного исходного CIDR. Исходный CIDR является частью CIDR гостевой сети.

  • Разрешите исходящий трафик с протоколом назначения TCP, UDP, ICMP или ВСЕ.

  • Разрешите исходящий трафик с протоколом назначения и диапазоном портов. Диапазон портов указывается для TCP, UDP или для типа и кода ICMP.

Чтобы настроить исходящее правило брандмауэра:

  1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

  2. На левой панели навигации выберите Сеть.

  3. В режиме «Выбор» выберите «Гостевые сети», затем щелкните нужную гостевую сеть.

  4. Чтобы добавить правило выхода, щелкните вкладку Правила выхода и заполните следующие поля, чтобы указать, какой тип трафика разрешен для отправки из экземпляров ВМ в этой гостевой сети:

    • CIDR : (только добавление с помощью CIDR) Чтобы отправлять трафик только на IP-адреса в определенном блоке адресов, введите CIDR или список CIDR, разделенных запятыми. CIDR — это базовый IP-адрес пункта назначения. Например, 192.168.0.0/22. Чтобы разрешить все CIDR, установите значение 0.0,0.0 / 0.

    • Протокол : сетевой протокол, который виртуальные машины используют для отправки исходящего трафика. Протоколы TCP и UDP обычно используются для обмена данными и связи с конечными пользователями. Протокол ICMP обычно используется для отправки сообщений об ошибках или данных мониторинга сети.

    • Начальный порт, конечный порт : (только TCP, UDP) Диапазон прослушивающих портов, которые являются адресатом исходящего трафика. Если вы открываете один порт, используйте один и тот же номер в обоих полях.

    • Тип ICMP, код ICMP : (только ICMP) Тип отправляемого сообщения и код ошибки.

  5. Щелкните Добавить.

По умолчанию весь входящий трафик на общедоступный IP-адрес отклоняется брандмауэром. Чтобы разрешить внешний трафик, вы можете открыть порты брандмауэра, указав правила брандмауэра. Вы можете дополнительно указать один или несколько CIDR для фильтрации исходных IP-адресов. Это полезно, если вы хотите разрешить только входящие запросы с определенных IP-адресов.

Правила брандмауэра можно создать на вкладке «Брандмауэр» в пользовательском интерфейсе сервера управления. Эта вкладка не отображается по умолчанию, если установлен CloudStack. Чтобы отобразить вкладку «Брандмауэр», администратор CloudStack должен установить для параметра глобальной конфигурации firewall.rule.ui.enabled значение «true».

Чтобы создать правило брандмауэра:

  1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

  2. На левой панели навигации выберите Сеть.

  3. Щелкните имя сети, с которой вы хотите работать.

  4. Щелкните Просмотр IP-адресов.

  5. Щелкните IP-адрес, с которым хотите работать.

  6. Щелкните вкладку Конфигурация и введите следующие значения.

    • Источник CIDR . (Необязательно) Чтобы принимать трафик только с IP-адресов в определенном адресном блоке, введите CIDR или список CIDR, разделенных запятыми.Пример: 192.168.0.0/22. Оставьте пустым, чтобы разрешить все CIDR.

    • Протокол . Протокол связи, используемый на открытых портах.

    • Начальный порт и конечный порт . Порт (ы), которые вы хотите открыть на брандмауэре. Если вы открываете один порт, используйте один и тот же номер в обоих полях.

    • Тип ICMP и код ICMP . Используется, только если для протокола задано значение ICMP. Укажите тип и код, требуемые протоколом ICMP для заполнения заголовка ICMP.Обратитесь к документации ICMP для получения дополнительных сведений, если вы не уверены, что вводить.

  7. Щелкните Добавить.

13.14.3. Перенаправление портов

Служба переадресации портов — это набор правил переадресации портов, которые определяют политику. Затем к одной или нескольким гостевым виртуальным машинам применяется служба переадресации портов. Затем гостевая виртуальная машина управляет входящим сетевым доступом в соответствии с политикой, определенной службой переадресации портов. Вы можете дополнительно указать один или несколько CIDR для фильтрации исходных IP-адресов.Это полезно, если вы хотите разрешить пересылку только входящих запросов с определенных IP-адресов.

Гостевая виртуальная машина может быть в любом количестве служб переадресации портов. Службы переадресации портов могут быть определены, но не имеют участников. Если гостевая виртуальная машина является частью более чем одной сети, правила переадресации портов будут работать, только если они определены в сети по умолчанию.

Вы не можете использовать переадресацию портов для открытия портов для эластичного IP-адреса. При использовании эластичного IP-адреса внешний доступ вместо этого контролируется с помощью групп безопасности.См. Группы безопасности.

Чтобы настроить переадресацию портов:

  1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

  2. Если вы еще этого не сделали, добавьте диапазон общедоступных IP-адресов в зону в CloudStack. См. Добавление зоны и модуля в Руководстве по установке.

  3. Добавьте один или несколько экземпляров ВМ в CloudStack.

  4. На левой панели навигации щелкните Сеть.

  5. Щелкните имя гостевой сети, в которой работают виртуальные машины.

  6. Щелкните вкладку Конфигурация.

  7. В узле «Переадресация портов» на схеме нажмите «Просмотреть все».

  8. Заполните следующее:

    • Общественный порт . Порт, на который будет адресован общедоступный трафик на IP-адресе, полученном на предыдущем шаге.

    • Частный порт . Порт, на котором экземпляр прослушивает перенаправленный общедоступный трафик.

    • Протокол . Протокол связи, используемый между двумя портами

  9. Щелкните Добавить.

Правила брандмауэра IP — База данных SQL Azure и Azure Synapse Analytics

  • Читать 12 минут
Эта страница полезна?

Оцените свой опыт

да Нет

Любой дополнительный отзыв?

Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

ОТНОСИТСЯ К: База данных SQL Azure Azure Synapse Analytics

При создании нового сервера в базе данных SQL Azure или Azure Synapse Analytics с именем mysqlserver , например, брандмауэр уровня сервера блокирует весь доступ к общедоступной конечной точке для сервера (который доступен по адресу mysqlserver.database.windows.net ). Для простоты База данных SQL используется для обозначения как базы данных SQL, так и Azure Synapse Analytics.

Важно

В этой статье , а не , применяется к управляемому экземпляру Azure SQL . Дополнительные сведения о конфигурации сети см. В разделе Подключение приложения к управляемому экземпляру SQL Azure.

Azure Synapse поддерживает только правила брандмауэра IP на уровне сервера. Он не поддерживает правила брандмауэра IP на уровне базы данных.

Как работает межсетевой экран

Попытки подключения из Интернета и Azure должны пройти через брандмауэр, прежде чем они достигнут вашего сервера или базы данных, как показано на следующей диаграмме.

Правила брандмауэра IP на уровне сервера

Эти правила позволяют клиентам получить доступ ко всему вашему серверу, то есть ко всем базам данных, управляемым сервером. Правила хранятся в базе данных master . У вас может быть максимум 128 правил брандмауэра IP на уровне сервера для сервера. Если у вас включен параметр Разрешить службам и ресурсам Azure доступ к этому серверу , это считается одним правилом брандмауэра для сервера.

Вы можете настроить правила брандмауэра IP на уровне сервера с помощью портала Azure, PowerShell или инструкций Transact-SQL.

  • Чтобы использовать портал или PowerShell, вы должны быть владельцем подписки или участником подписки.
  • Чтобы использовать Transact-SQL, необходимо подключиться к базе данных master как основной логин на уровне сервера или как администратор Azure Active Directory. (Правило брандмауэра IP на уровне сервера должно сначала быть создано пользователем с разрешениями уровня Azure.)

Примечание

По умолчанию во время создания нового логического SQL-сервера на портале Azure для параметра Разрешить службам и ресурсам Azure доступ к этому серверу установлено значение Нет .

Правила брандмауэра IP на уровне базы данных

Правила брандмауэра IP на уровне базы данных позволяют клиентам получать доступ к определенным (безопасным) базам данных. Вы создаете правила для каждой базы данных (включая базу данных master ), и они хранятся в отдельной базе данных.

  • Вы можете создавать правила брандмауэра IP на уровне базы данных для основных и пользовательских баз данных и управлять ими только с помощью операторов Transact-SQL и только после настройки первого брандмауэра на уровне сервера.
  • Если вы укажете диапазон IP-адресов в правиле IP-брандмауэра на уровне базы данных, который выходит за пределы диапазона в правиле IP-брандмауэра на уровне сервера, только те клиенты, у которых есть IP-адреса в диапазоне уровня базы данных, могут получить доступ к базе данных.
  • У вас может быть максимум 128 правил брандмауэра IP на уровне базы данных для базы данных. Дополнительные сведения о настройке правил брандмауэра IP на уровне базы данных см. В примере ниже в этой статье и в разделе sp_set_database_firewall_rule (база данных SQL Azure).

Рекомендации по настройке правил межсетевого экрана

По возможности рекомендуется использовать правила брандмауэра IP на уровне базы данных. Такой подход повышает безопасность и делает вашу базу данных более переносимой. Используйте для администраторов правила брандмауэра IP на уровне сервера.Также используйте их, когда у вас есть много баз данных с одинаковыми требованиями к доступу, и вы не хотите настраивать каждую базу данных по отдельности.

Сравнение правил брандмауэра IP на уровне сервера и уровня базы данных

Следует ли полностью изолировать пользователей одной базы данных от другой базы данных?

Если да , используйте правила брандмауэра IP на уровне базы данных для предоставления доступа. Этот метод позволяет избежать использования правил брандмауэра IP на уровне сервера, которые разрешают доступ через брандмауэр ко всем базам данных.Это уменьшит глубину вашей защиты.

Нужен ли пользователям IP-адресов доступ ко всем базам данных?

Если да , используйте правила брандмауэра IP на уровне сервера, чтобы уменьшить количество раз, которое вам нужно настраивать правила брандмауэра IP.

Есть ли у человека или группы, которые настраивают правила брандмауэра IP, доступ только через портал Azure, PowerShell или REST API?

В таком случае необходимо использовать правила брандмауэра IP на уровне сервера.Правила брандмауэра IP на уровне базы данных можно настроить только с помощью Transact-SQL.

Запрещается ли человеку или группе, которые настраивают правила брандмауэра IP, иметь высокоуровневые разрешения на уровне базы данных?

Если да, используйте правила брандмауэра IP на уровне сервера. Для настройки правил брандмауэра IP на уровне базы данных с помощью Transact-SQL вам потребуется как минимум разрешение CONTROL DATABASE на уровне базы данных.

Управляет ли человек или группа, которые настраивают или проверяют правила брандмауэра IP централизованно, правилами брандмауэра IP для многих (возможно, сотен) баз данных?

В этом сценарии передовой опыт определяется вашими потребностями и средой.Правила брандмауэра IP на уровне сервера, возможно, проще настроить, но сценарий может настраивать правила на уровне базы данных. И даже если вы используете правила IP-брандмауэра на уровне сервера, вам может потребоваться аудит правил IP-брандмауэра на уровне базы данных, чтобы увидеть, создают ли пользователи с разрешением CONTROL в базе данных правила IP-брандмауэра на уровне базы данных.

Могу ли я использовать сочетание правил брандмауэра IP на уровне сервера и на уровне базы данных?

Да. Некоторым пользователям, например администраторам, могут потребоваться правила брандмауэра IP на уровне сервера.Другим пользователям, например пользователям приложения базы данных, могут потребоваться правила брандмауэра IP на уровне базы данных.

Соединения из Интернета

Когда компьютер пытается подключиться к вашему серверу из Интернета, брандмауэр сначала проверяет исходный IP-адрес запроса на соответствие правилам брандмауэра IP на уровне базы данных для базы данных, которую запрашивает соединение.

  • Если адрес находится в диапазоне, указанном в правилах брандмауэра IP на уровне базы данных, соединение предоставляется базе данных, содержащей правило.
  • Если адрес не входит в диапазон правил брандмауэра IP на уровне базы данных, брандмауэр проверяет правила брандмауэра IP на уровне сервера. Если адрес находится в диапазоне, заданном правилами брандмауэра IP на уровне сервера, соединение разрешается. Правила брандмауэра IP на уровне сервера применяются ко всем базам данных, управляемым сервером.
  • Если адрес не входит в диапазон правил брандмауэра IP на уровне базы данных или сервера, запрос на соединение не выполняется.

Примечание

Чтобы получить доступ к базе данных SQL Azure с локального компьютера, убедитесь, что брандмауэр в вашей сети и локальном компьютере разрешает исходящую связь через TCP-порт 1433.

Подключения изнутри Azure

Чтобы приложения, размещенные в Azure, могли подключаться к вашему серверу SQL, необходимо включить подключения Azure. Чтобы включить подключения Azure, должно быть правило брандмауэра с начальным и конечным IP-адресами, установленным на 0.0.0.0.

Когда приложение из Azure пытается подключиться к серверу, брандмауэр проверяет, разрешены ли соединения Azure, подтверждая существование этого правила брандмауэра. Это можно включить непосредственно из колонки портала Azure, переключив Разрешить службам и ресурсам Azure доступ к этому серверу с на НА в настройках брандмауэров и виртуальных сетей .При переключении параметра в положение ON создается правило брандмауэра для входящего трафика для IP 0.0.0.0 — 0.0.0.0 с именем AllowAllWindowsAzureIps . Правило можно просмотреть в представлении sys.firewall_rules вашей главной базы данных. Используйте PowerShell или Azure CLI, чтобы создать правило брандмауэра с начальным и конечным IP-адресами, равными 0.0.0.0, если вы не используете портал.

Важно

Этот параметр настраивает брандмауэр, чтобы разрешить все подключения из Azure, включая подключения из подписок других клиентов.Если вы выберете эту опцию, убедитесь, что ваш логин и права пользователя ограничивают доступ только авторизованным пользователям.

Разрешения

Чтобы иметь возможность создавать правила брандмауэра IP для Azure SQL Server и управлять ими, вам потребуется:

Создание правил IP-брандмауэра и управление ими

Вы создаете первый параметр брандмауэра на уровне сервера с помощью портала Azure или программно с помощью Azure PowerShell, Azure CLI или Azure REST API. Вы можете создавать дополнительные правила брандмауэра IP на уровне сервера и управлять ими с помощью этих методов или Transact-SQL.

Важно

Правила брандмауэра IP на уровне базы данных могут создаваться и управляться только с помощью Transact-SQL.

Для повышения производительности правила брандмауэра IP на уровне сервера временно кэшируются на уровне базы данных. Чтобы обновить кеш, см. DBCC FLUSHAUTHCACHE.

Подсказка

Вы можете использовать аудит базы данных для аудита изменений брандмауэра на уровне сервера и базы данных.

Используйте портал Azure для управления правилами брандмауэра IP на уровне сервера

Чтобы установить правило брандмауэра IP на уровне сервера на портале Azure, перейдите на страницу обзора своей базы данных или сервера.

На странице обзора базы данных
  1. Чтобы установить правило брандмауэра IP на уровне сервера на странице обзора базы данных, выберите Установить брандмауэр сервера на панели инструментов, как показано на следующем рисунке.

    Откроется страница настроек брандмауэра для сервера.

  2. Выберите Добавить IP-адрес клиента на панели инструментов, чтобы добавить IP-адрес компьютера, который вы используете, а затем выберите Сохранить . Правило брандмауэра IP на уровне сервера создается для вашего текущего IP-адреса.

Со страницы обзора сервера

Откроется страница обзора вашего сервера. Он показывает полное имя сервера (например, mynewserver20170403.database.windows.net ) и предоставляет параметры для дальнейшей настройки.

  1. Чтобы установить правило уровня сервера на этой странице, выберите Firewall в меню Settings слева.

  2. Выберите Добавить IP-адрес клиента на панели инструментов, чтобы добавить IP-адрес компьютера, который вы используете, а затем выберите Сохранить .Правило брандмауэра IP на уровне сервера создается для вашего текущего IP-адреса.

Использование Transact-SQL для управления правилами брандмауэра IP

В следующем примере проверяются существующие правила, включается диапазон IP-адресов на сервере Contoso и удаляется правило брандмауэра IP:

  ВЫБРАТЬ * ИЗ sys.firewall_rules ORDER BY name;
  

Затем добавьте правило брандмауэра IP на уровне сервера.

  ВЫПОЛНИТЬ sp_set_firewall_rule @name = N'ContosoFirewallRule ',
   @start_ip_address = '192.168.1.1 ', @end_ip_address =' ​​192.168.1.10 '
  

Чтобы удалить правило брандмауэра IP на уровне сервера, выполните хранимую процедуру sp_delete_firewall_rule . В следующем примере удаляется правило ContosoFirewallRule :

  EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule '
  

Использование PowerShell для управления правилами брандмауэра IP на уровне сервера

Важно

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается базой данных SQL Azure, но вся разработка сейчас ведется для Az.Модуль sql. Для этих командлетов см. AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны.

В следующем примере PowerShell используется для установки правила брандмауэра IP на уровне сервера:

  New-AzSqlServerFirewallRule -ResourceGroupName "myResourceGroup" `
    -ServerName $ servername `
    -FirewallRuleName "ContosoIPRange" -StartIpAddress "192.168.1.0" -EndIpAddress "192.168.1.255"
  

Использование интерфейса командной строки для управления правилами брандмауэра IP на уровне сервера

В следующем примере используется интерфейс командной строки для установки правила брандмауэра IP на уровне сервера:

  az sql server firewall-rule create --resource-group myResourceGroup --server $ servername \
-n ContosoIPRange --start-ip-адрес 192.168.1.0 --end-ip-адрес 192.168.1.255
  

Использование REST API для управления правилами брандмауэра IP на уровне сервера

Устранение неполадок брандмауэра базы данных

Примите во внимание следующие моменты, когда доступ к базе данных SQL Azure работает не так, как вы ожидаете.

  • Конфигурация локального межсетевого экрана:

    Прежде чем ваш компьютер сможет получить доступ к базе данных SQL Azure, вам может потребоваться создать исключение брандмауэра на вашем компьютере для TCP-порта 1433. Чтобы установить соединения внутри границы облака Azure, вам может потребоваться открыть дополнительные порты.Дополнительные сведения см. В разделе «База данных SQL: внешняя и внутренняя» в статье «Порты за пределами 1433 для ADO.NET 4.5 и База данных SQL Azure».

  • Трансляция сетевых адресов:

    Из-за преобразования сетевых адресов (NAT) IP-адрес, используемый вашим компьютером для подключения к базе данных SQL Azure, может отличаться от IP-адреса в параметрах IP-конфигурации вашего компьютера. Чтобы просмотреть IP-адрес, который ваш компьютер использует для подключения к Azure:

    1. Авторизуйтесь на портале.
    2. Перейдите на вкладку Настроить на сервере, на котором размещена ваша база данных.
    3. Текущий IP-адрес клиента отображается в разделе Разрешенные IP-адреса . Выберите Добавить для Разрешенных IP-адресов , чтобы разрешить этому компьютеру доступ к серверу.
  • Изменения в разрешенном списке еще не вступили в силу:

    Изменения в конфигурации брандмауэра базы данных SQL Azure могут вступить в силу с задержкой до пяти минут.

  • Логин не авторизован, или был использован неверный пароль:

    Если логин не имеет разрешений на сервере или пароль неверен, соединение с сервером отклоняется. Создание настройки брандмауэра дает клиентам возможность только попытаться подключиться к вашему серверу. Клиент по-прежнему должен предоставить необходимые учетные данные безопасности. Дополнительные сведения о подготовке учетных записей см. В разделе Управление и предоставление доступа к базе данных.

  • Динамический IP-адрес:

    Если у вас есть подключение к Интернету, использующее динамическую IP-адресацию, и вам не удается пройти через брандмауэр, попробуйте одно из следующих решений:

    • Узнайте у своего интернет-провайдера диапазон IP-адресов, назначенный вашим клиентским компьютерам, имеющим доступ к серверу. Добавьте этот диапазон IP-адресов в качестве правила брандмауэра IP.
    • Получите статический IP-адрес для своих клиентских компьютеров.Добавьте IP-адреса в качестве правил брандмауэра IP.

Следующие шаги

Правила переадресации портов

и NAT на MX

  1. Последнее обновление
  2. Сохранить как PDF
  1. Перенаправление портов
    1. Обзор
    2. Конфигурация
    3. Дополнительные соображения
      1. Перенаправление L2TP / IPsec UDP-портов
      2. Перенаправление TCP 443/80
  2. 1: 1 NAT
    1. Обзор
    2. Дополнительная конфигурация
    3. Дополнительная конфигурация
      1. 1: 1 NAT и несколько восходящих каналов MX
      2. 1: 1 NAT и балансировка нагрузки
      3. 1: 1 NAT и фильтрация содержимого
      4. Маршрутизация шпилькой
    4. Примеры конфигураций
      1. Базовая (небезопасная) конфигурация
      2. Подробная (безопасная) ) Конфигурация
  3. 1: Многие NAT
    1. Обзор
    2. Конфигурация
  4. Устранение неполадок

Серверы за брандмауэром часто должны быть доступны из Интернета.Это можно сделать, реализовав перенаправление портов , 1: 1 NAT (преобразование сетевых адресов) или 1: многие NAT на устройстве безопасности MX. В этой статье обсуждается, когда целесообразно настраивать каждый из них, как настраивать каждый и соответствующие ограничения.

Перенаправление портов

Обзор

Перенаправление портов берет определенные порты TCP или UDP, предназначенные для интернет-интерфейса устройства безопасности MX, и перенаправляет их на определенные внутренние IP-адреса.Это лучше всего подходит для пользователей, у которых нет пула общедоступных IP-адресов. Эта функция может перенаправлять разные порты на разные внутренние IP-адреса, что позволяет нескольким серверам быть доступными с одного и того же общедоступного IP-адреса.

Рисунок 1. Пример конфигурации переадресации портов

Рис. 2. Иллюстрация конфигурации переадресации порта

Конфигурация

  1. Перейдите в Безопасность и SD-WAN> Брандмауэр .
  2. Щелкните Добавьте правило переадресации портов , чтобы создать новый порт переадресации.
  3. Настройте следующее:
  • Описание : Предоставьте описание правила
  • Восходящий канал: Слушайте общедоступный IP-адрес Интернета 1, Интернета 2 или обоих
  • Протокол : TCP или UDP
  • Общедоступный порт : Порт назначения трафика, поступающего по WAN
  • LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
  • Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен из MX на указанный хост в LAN; если вы просто хотите перенаправить трафик без перевода порта, он должен быть таким же, как и публичный порт
  • Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов

Дополнительные соображения

Перенаправление портов UDP L2TP / IPsec

Если настроена переадресация порта для портов UDP 500 или 4500 на конкретный сервер, MX будет перенаправлять весь трафик VPN-соединения между узлами и L2TP / IPsec клиента, отличного от Meraki, на IP-адрес LAN, указанный в переадресации порта.

Перенаправление TCP 443/80

Если настроена переадресация портов для портов 443 или 80, возможно, вы не сможете получить доступ к локальной странице состояния через IP-адрес WAN MX.

Примечание. Это не влияет на возможность доступа клиента локальной сети или межсетевого взаимодействия к локальной странице состояния.


1: 1 NAT

Обзор

1: 1 NAT предназначен для пользователей с несколькими общедоступными IP-адресами, доступными для использования, и для сетей с несколькими серверами за брандмауэром, такими как два веб-сервера и два почтовых сервера.Сопоставление NAT 1: 1 можно настроить только с IP-адресами, которые не принадлежат устройству безопасности MX. Он также может транслировать общедоступные IP-адреса в подсетях, отличных от адреса интерфейса WAN, если интернет-провайдер направляет трафик для подсети к интерфейсу MX. Каждое добавленное преобразование является правилом «один к одному», что означает, что трафик, предназначенный для общедоступного IP-адреса, может идти только на один внутренний IP-адрес. В рамках каждого преобразования пользователь может указать, какие порты будут перенаправлены на внутренний IP-адрес. При добавлении портов для NAT допустимы диапазон портов или список портов, разделенных запятыми.

Рис. 1. Пример конфигурации NAT 1: 1

Рис. 2. Иллюстрация конфигурации NAT 1: 1

Конфигурация

  1. Перейдите в Безопасность и SD-WAN> Брандмауэр
  2. Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
  3. Настройте следующее:
  • Имя : описательное имя правила
  • Public IP : IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из WAN
  • LAN IP : IP-адрес сервера или устройства, на котором размещен внутренний ресурс, который вы хотите сделать доступным в WAN
  • .
  • Uplink : физический интерфейс WAN, на который будет поступать трафик
  • Разрешенные входящие соединения: Порты, к которым это сопоставление будет предоставлять доступ, и удаленные IP-адреса, которым будет разрешен доступ к ресурсу.Чтобы включить входящее соединение, нажмите Разрешить больше подключений и введите следующую информацию:
    • Протокол : выберите из TCP , UDP , ICMP ping или любой
    • Порты : введите порт или диапазон портов, которые будут перенаправлены на хост в локальной сети; вы можете указать несколько портов или диапазонов через запятую
    • Удаленные IP-адреса : введите диапазон IP-адресов WAN, которым разрешено устанавливать входящие соединения на указанном порту или диапазоне портов; вы можете указать несколько диапазонов IP-адресов WAN через запятую

Примечание:

  • Вы можете переместить настроенное правило вверх или вниз в списке, перетащив символ .Щелкните X , чтобы полностью удалить правило.
  • Создание правила NAT 1: 1 не разрешает автоматически входящий трафик на общедоступный IP-адрес, указанный в сопоставлении NAT. По умолчанию все входящие подключения запрещены. Вам нужно будет настроить Разрешенные входящие соединения , как описано выше, чтобы разрешить входящий трафик.

Дополнительные соображения

1: 1 NAT и несколько восходящих каналов MX

Если первичный восходящий канал MX не совпадает с восходящим каналом 1: 1 NAT, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из первичного восходящего канала MX. Чтобы предотвратить асинхронную маршрутизацию, можно установить предпочтение восходящего канала, которое указывает на тот же восходящий канал, настроенный для NAT 1: 1. Этот параметр конфигурации можно найти в Security & SD-WAN> SD-WAN & Traffic Shaping> Flow Preferences.

Пример:

  • MX первичный восходящий канал — WAN 1

  • 1: 1 NAT сопоставляется с WAN 2 Uplin k / IP

  • Вы хотите, чтобы весь исходящий интернет-трафик, полученный от устройства LAN NAT 1: 1, использовал WAN 2

NAT 1: 1 и балансировка нагрузки

Если MX настроен для балансировки нагрузки трафика через несколько интерфейсов WAN, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из обоих интерфейсов WAN.Чтобы предотвратить асинхронную маршрутизацию, можно создать конфигурацию предпочтений восходящего канала, как показано в примере выше.

NAT 1: 1 и фильтрация содержимого

Когда правило NAT 1: 1 настроено для данного IP-адреса LAN, исходящий трафик этого устройства будет отображаться на общедоступный IP-адрес, настроенный в правиле 1: 1 NAT, а не на первичный IP-адрес WAN для MX. Исключения могут возникать, когда MX выполняет некоторые функции фильтрации содержимого, которые включают его веб-прокси. В этом случае исходящий веб-трафик, инициированный устройством локальной сети NAT 1: 1, будет использовать основной восходящий канал как обычно.

Маршрутизация шпильки

Трафик, поступающий из LAN MX, предназначенный для общедоступного IP-адреса, настроенного в разделе NAT 1: 1, будет маршрутизироваться на частный IP-адрес, связанный с настроенным сопоставлением.

В этом процессе MX примет пакет в LAN и перезапишет заголовок IPv4. Переписанный заголовок будет получен из интерфейса IP / MAC MX или уровня 3, в котором находится целевой клиент, а также предназначен для частного IP / MAC клиента, сопоставленного с NAT 1: 1.

Эта практика действительно добавляет сложности и может быть легко реализована с помощью статических записей DNS, где это применимо.

Примеры конфигураций

Базовая (небезопасная) конфигурация

Можно настроить базовую, но небезопасную конфигурацию NAT 1: 1 для пересылки всего трафика внутреннему клиенту. Это следует настраивать, когда необходимо быстро выполнить NAT 1: 1, но это не рекомендуется из соображений безопасности. Когда все порты перенаправлены клиенту, злоумышленники, использующие сканер портов, могут нацеливаться на уязвимые службы или получить доступ к внутреннему серверу.

Рисунок 1. Пример небезопасной конфигурации NAT 1: 1

Рис. 2. Иллюстрация небезопасной конфигурации NAT 1: 1

Подробная (безопасная) конфигурация

Более продвинутая конфигурация должна включать несколько правил и использовать вторичный восходящий канал для обеспечения избыточности для веб-сервера. Если один из восходящих каналов выходит из строя, вторичный восходящий канал по-прежнему работает, чтобы обеспечить удаленное подключение к внутреннему серверу.Правила NAT 1: 1 также должны быть настроены для ограничения доступа определенных удаленных IP-адресов к определенным службам, таким как RDP.

Рисунок 1. Пример безопасной конфигурации NAT 1: 1

Рис. 2. Пример конфигурации безопасного NAT 1: 1


1: Многие NAT

Обзор

A 1: Многие конфигурации NAT позволяют MX перенаправлять трафик с настроенного общедоступного IP-адреса на внутренние серверы.Однако, в отличие от правила NAT 1: 1, 1: Many NAT позволяет одному общедоступному IP-адресу преобразовываться в несколько внутренних IP-адресов на разных портах. Для каждого определения 1: Многие IP должен быть указан один общедоступный IP-адрес, затем можно настроить несколько правил переадресации портов для перенаправления трафика на разные устройства в локальной сети для каждого порта. Как и в случае NAT 1: 1, определение 1: Many NAT не может использовать IP-адрес, принадлежащий MX.

Рис. 1. Пример 1: Конфигурация многих NAT

Рисунок 2.Иллюстрация 1: множество конфигураций NAT

Конфигурация

  1. Перейдите в Безопасность и SD-WAN> Брандмауэр
  2. Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
  3. Настройте следующее:
  • Общедоступный IP-адрес: IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из глобальной сети
  • Uplink: Физический интерфейс WAN, на который будет поступать трафик
  • Правила: A 1: Многие записи NAT будут созданы с одним связанным правилом переадресации.Чтобы добавить дополнительные правила, щелкните Добавить правило переадресации портов в существующее правило или правила для конкретной записи 1: Многие.
    • Описание : Описание правила
    • Протокол : TCP или UDP
    • Общедоступный порт : Порт назначения трафика, поступающего по WAN
    • LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
    • Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен с MX на указанный хост в LAN.Если вы просто хотите перенаправить трафик без преобразования порта, он должен быть таким же, как и публичный порт
    • Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов

Устранение неисправностей

Для получения информации об устранении проблем с переадресацией портов и правилами NAT см. в этой статье .

Безопасность

— как убедиться, что порт SSH открыт только для определенного IP-адреса?

Другие ответы используют в своих примерах iptables -I , что часто не то, что вам следует использовать.

iptables выполнит первое подходящее правило, поэтому порядок правил очень важен. -I — это команда «вставить», и ее следует использовать с параметром индекса, чтобы указать, где в списке принадлежит данное правило. -A — это команда «добавить», которая добавит правило в конец списка.

В некоторых дистрибутивах (возможно, во всех) использование -I без параметра индекса добавит правило к первому индексу, делая его первым проверяемым правилом. В этом сценарии, если последняя команда, которую вы выполняете, будет iptables -I INPUT -s tcp 0.0.0.0/0 -j DROP , тогда iptables сбросит весь трафик, независимо от того, есть ли у вас какие-либо правила ACCEPT позже в цепочке. .

Вот пример настройки правила, которое разрешает SSH только с одного IP:

Пуск без правил:

  #> iptables -nL
Цепочка INPUT (политика ACCEPT)
target prot opt ​​источник назначения

Цепочка ВПЕРЕД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения

Цепочка ВЫХОДА (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
  

Добавьте новый параметр «Разрешить SSH от 1.2.3.4 «правило:

#> iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j ACCEPT

Заблокировать SSH со всех остальных IP:

#> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

Теперь ваша цепочка INPUT будет выглядеть так:

  Цепочка ВВОД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
ПРИНЯТЬ tcp - 1.2.3.4 0.0.0.0/0 tcp dpt: 22
DROP tcp - 0,0.0,0 / 0 0,0.0.0/0 tcp dpt: 22
  

Позже, если вам нужно добавить второй IP-адрес в белый список, вы можете использовать параметр -I , чтобы поместить его перед правилом черного списка.

#> iptables -I INPUT 2 -p tcp -s 4.3.2.1 --dport 22 -j ACCEPT

  Цепочка ВВОД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
ПРИНЯТЬ tcp - 1.2.3.4 0.0.0.0/0 tcp dpt: 22
ПРИНЯТЬ tcp - 4.3.2.1 0.0.0.0/0 tcp dpt: 22
DROP tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 22
  

Обратите внимание, что при использовании -I INPUT 2 было добавлено новое правило как правило номер 2 и перенесено правило DROP на номер 3.

Добавить комментарий

Ваш адрес email не будет опубликован.