Porttien avaaminen Linuxissa

Miten

Tekijä:Jeff Butts

Viimeksi päivitetty1. maaliskuuta 2022

Tarvitsetko yhteyden ulkopuoliseen tietokoneeseen tai palvelimeen tai tarvitsetko toisen tietokoneen tai palvelimen muodostamaan yhteyden? Jos käytät Linuxia, sinun on varmistettava, että oikea portti on auki.

Vaikka muissa käyttöjärjestelmissä on yleensä jokin graafinen työkalu tähän, Linux ei ole niin yksinkertainen. Ohessa opastamme porttien avaamisen Linuxissa.

Mikä on portti ja miksi minun pitäisi avata se?

Portti on verkon päätepiste. Ajattele sitä kuin ovi, joka johtaa tiettyyn huoneeseen tai ulkomaailmaan, mutta tietokoneellesi. Kaikki mitä teet Internetissä käyttää tiettyä porttia tai porttien sarjaa.

Oletetaan esimerkiksi, että haluat käyttää omaa Minecraft-palvelintasi. Tätä varten sinun on avattava portti, jonka kautta käyttäjät voivat muodostaa yhteyden siihen. Sama pätee oman web-, sähköposti- tai FTP-palvelimen käyttämiseen.

Portit ovat standardoitu kaikissa verkkoon kytketyissä laitteet. Ensimmäiset 1 024 porttia (0 - 1 023) kutsutaan nimellä tunnetut porttinumerot. Ne on varattu yleisimmin käytetyille palveluille, kuten HTTP ja HTTP (portti 80 ja 443, vastaavasti) ja SSH (portti 22).

Porttinumeroita, jotka ovat yli 1024, kutsutaan nimellä lyhytaikaiset portit, ja ne ovat yleensä käytettävissäsi online-pelaamiseen, yksityisiin verkkopalvelimiin ja niin edelleen. Porttinumeroita 1024–49151 kutsutaan rekisteröity tai käyttäjäportit, kun taas numerot 49152–65535 tunnetaan nimellä dynaaminen tai yksityiset satamat.

Avointen porttien luettelointi Linuxissa

Ennen kuin yrität avata porttia Linuxissa, varmista, että se ei ole jo käytössä. Voit suorittaa tämän käyttämällä netstat komento, joka sisältyy useimpiin Linux-jakeluihin. Jos jakelussasi ei ole netstat, voit käyttää ss sen sijaan.

netstat -lntu. 

Tämä tulostaa kaikki kuunteluliittimet (-l) ja portin numero (-n). Se sisältää TCP-portit (-t) sekä UDP (-u). Jos järjestelmässäsi ei ole netstat, käytä vain ss samoilla parametreilla.

ss -lntu. 

Porttien avaaminen Linuxissa

Tämän esimerkin vuoksi oletetaan, että haluamme avata portin 4000 TCP-yhteyksille. Meidän on ensin varmistettava, että portti ei ole jo käytössä. Teemme tämän läpi netstat tai ss.

netstat -na | grep: 4000. ss -na | grep: 4000. 

Olettaen, että tulos on tyhjä, voimme lisätä asianmukaiset porttisäännöt järjestelmän palomuuriin. Menetelmät tähän vaihtelevat jakelustasi ja siitä, käyttääkö se uudempaa ufw palomuuri tai palomuuri. Ubuntu suosiiufw, sillä aikaa CentOS käyttää tyypillisestipalomuuri sen sijaan. Tietysti on edelleen joitain Linux-jakeluja, jotka käyttävät vanhempia iptables palomuuri.

Ubuntu-käyttäjille ja muille ufw-palomuuripohjaisille järjestelmille

Sen sijaan, että käytät vanhempaa iptables palomuuri, Ubuntu ja jotkut muut jakelut käyttävät ufw. Näissä järjestelmissä seuraava komento avaa portin.

sudo ufw salli 4000. 

Ohita muutama seuraava vaihe ja testaa äskettäin avattua porttia varmistaaksesi, että se toimii.

Porttien avaaminen Linuxissa CentOS: n ja muiden palomuuripohjaisten järjestelmien avulla

Jos järjestelmäsi käyttää palomuuri, paras vaihtoehto on käyttää palomuuri-cmd komento päivittää säännöt.

sudo firewall-cmd --add-port=4000/tcp. 

Tämä ei ole pysyvä muutos, mutta käsittelemme kuinka saada säännöt säilymään uudelleenkäynnistyksen jälkeen portin testauksen jälkeen.

Muille Linux-jakeluille

Jos Linux-järjestelmässäsi ei ole ufw tai palomuuri, sinun on käytettävä iptables. Jos sitä ei ole asennettu, hanki se valitsemallasi paketinhallintaohjelmalla. Kun se on asennettu, nämä komennot avaa portin 4000:

sudo iptables -A INPUT -p tcp --dport 4000 -j HYVÄKSY. sudo-palvelu iptables käynnistyy uudelleen. 

Jos järjestelmäsi käyttää systemctl, korvaa toinen komento seuraavalla:

sudo systemctl käynnistä iptables uudelleen. 

Testataan äskettäin avattuja portteja yhteyksiä varten

Seuraavaksi meidän pitäisi testata portti varmistaaksemme, että se hyväksyy yhteydet. Teemme tämän käyttämällä netcatia (nc) kuunnellaksesi porttia ja yrittää sitten muodostaa telnet siihen.

Avaa ensin pääteikkuna ja anna tämä komento:

sudo ls | nc -l -p 4000. 

Jätä se käynnissä (kuuntele) ja avaa toinen pääteikkuna. Tässä ikkunassa testaat yhteyden telnetin avulla. Jos telnet ei ole asennettuna, tee se paketinhallinnan avulla.

telnet [isäntänimi/IP-osoite] [portin numero]

Korvata [isäntänimi/IP-osoite] järjestelmäsi IP-osoitteella ja [porttinumero] avaamasi portin numerolla.

telnet localhost 4000. 

Sinun pitäisi nähdä alla tällainen tulos, joka osoittaa avoimen yhteyden nc.

Voimme myös näyttää portin olevan auki käyttämällä nmap. Jälleen, jos komentoa ei ole vielä asennettu, käytä paketinhallintaasi sen hakemiseen.

nmap localhost -p 4000. 

Ota huomioon, että nmap näyttää vain avoimet portit, jotka kuuntelevat yhteyksiä. Siksi käytämme netcatia testaamiseen, kuunnellaksemme kyseisessä portissa. Muuten portti ei rekisteröidy avoimeksi.

En saa yhteyttä porttiin, jonka juuri avasin, mitä nyt?

Jos suoritat kaikki yllä olevat vaiheet etkä saa yhteyttä porttiin, tarkista kirjoitus. Jos olet varma, että annoit kaiken oikein, sinun on todennäköisesti määritettävä verkkoreitittimesi uudelleen salliaksesi liikenteen.

Koska jokaisella verkkoreitittimellä on erilaiset konfigurointinäytöt, sinun tulee tutustua laitteen tukisivuihin tai käyttöoppaaseen. Sinun on tarkistettava portin edelleenlähetys- tai porttikartoitusasetukset sekä kaikki sisäänrakennettu palomuuri, jota reititin voi käyttää.

Kuinka avata portti pysyvästi Linuxissa

Kun olet testannut avoimen portin ja varmistanut, että se toimii, haluat todennäköisesti tehdä muutoksen pysyväksi. Muuten muutokset eivät välttämättä pysy voimassa uudelleenkäynnistyksen jälkeen. Jos olet Ubuntu-käyttäjä tai käytät muuten ufw palomuuri, sinun ei tarvitse huolehtia tästä. The ufw säännöt eivät nollaudu uudelleenkäynnistyksen yhteydessä.

Palomuurin käyttäjille

Porttisäännön pitäminen kiinni uudelleenkäynnistyksen jälkeen on helppoa palomuuri. Lisää vain -pysyvä lippu alkuperäiseen komentoosi, ja se sisällytetään Linux-järjestelmäsi palomuurisääntöihin käynnistyksen yhteydessä.

sudo firewall-cmd --add-port=4000/tcp --permanent. 

Jos käytät edelleen iptablesia

The iptables palomuuri on paljon hankalampi (ehkä hyvä syy päivittää palomuuri tai ufw). Portin avaaminen "pysyvästi". iptables, voit asentaa iptables-pysyvä paketti avuksi.

Kun asennat ensimmäisen kerran iptables-pysyvä Debian-pohjaisessa järjestelmässä se tallentaa nykyiset säännöt jompaan kumpaan tahansa /etc/iptables/rules.v4 tai /etc/iptables/rules.v6. Voit lisätä uusia sääntöjä antamalla seuraavan komennon:

sudo iptables-save > /etc/iptables/rules.v4. 

TAI

sudo iptables-save > /etc/iptables/rules.v6. 

Niille, jotka käyttävät RPM-pohjaisia ​​Linux-jakeluja, se on hieman erilainen. Paketti on ns iptables-palvelut, ja tallennustiedostot ovat /etc/sysconfig/iptables ja /etc/sysconfig/ip6tables.

RPM-pohjaisissa jakeluissa IPv6-porteille käytetään myös erilaista komentoa. Sääntöjesi tallentaminen tapahtuu jollakin näistä kahdesta komennosta:

sudo iptables-save > /etc/sysconfig/iptables. sudo ip6tables-save > /etc/sysconfig/iptables. 

Muista seurata portin käyttöäsi

Ajan myötä palvelimesi tarpeet voivat muuttua. Aivan kuten pitääkin pysy ajan tasalla käyttäjätileistä Linux-koneellasi, sinun tulee myös tarkastaa avoimet portit säännöllisesti. Sulje kaikki avoimet portit, joita ei enää tarvita. Yhdessä säännöllisesti salasanan vaihtaminen, tämä on hyvä suojauskäytäntö, joka auttaa sinua välttämään järjestelmän tunkeutumisen ja tietoturvahyökkäyksien.