Informationen zur Firewall der your GitHub Enterprise Server instance
GitHub Enterprise Server verwendet die Uncomplicated Firewall (UFW) von Ubuntu auf der virtuellen Appliance. Weitere Informationen finden Sie unter „UFW“ in der Ubuntu-Dokumentation. GitHub Enterprise Server automatically updates the firewall allowlist of allowed services with each release.
Nachdem Sie GitHub Enterprise Server installiert haben, werden automatisch alle erforderlichen Netzwerkports zum Akzeptieren der Verbindungen geöffnet. Jeder nicht erforderliche Port wird automatisch als deny
(verweigern) konfiguriert, und die standardmäßige Richtlinie für ausgehende Verbindungen wird als allow
(zulassen) konfiguriert. Die Zustandsverfolgung ist für neue Verknüpfungen aktiviert. In der Regel handelt es sich dabei um Netzwerkpakete mit dem Bitsatz SYN
. Weitere Informationen finden Sie unter „Netzwerkports“.
Die UWF-Firewall öffnet zudem verschiedene Ports, die für die ordnungsgemäße Funktion von GitHub Enterprise Server erforderlich sind. Weitere Informationen zum UFW-Regelsatz finden Sie in der „UFW README“.
Standardmäßige Firewallregeln anzeigen
- Stellen Sie eine SSH-Verbindung zu your GitHub Enterprise Server instance her.
$ ssh -p 122 admin@HOSTNAME
- Führen Sie den Befehl
sudo ufw status
aus, um die standardmäßigen Firewallregeln anzuzeigen. Es sollte in etwa folgende Ausgabe angezeigt werden:$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)
Benutzerdefinierte Firewallregeln hinzufügen
Warnung: Bevor Sie benutzerdefinierte Firewallregeln hinzufügen, sollten Sie Ihre aktuellen Regeln sichern, falls Sie in einen bekannten Betriebszustand zurückkehren müssen. Falls Ihr Server für Sie gesperrt ist, kontaktieren Sie GitHub Enterprise-Support oder GitHub Premium-Support, um die ursprünglichen Firewallregeln neu zu konfigurieren. Die Wiederherstellung der ursprünglichen Firewallregeln führt zu Ausfallzeiten für Ihren Server.
- Konfigurieren Sie eine benutzerdefinierte Firewallregel.
- Führen Sie den Befehl
status numbered
aus, um den Status jeder neuen Regel zu überprüfen.$ sudo ufw status numbered
- Führen Sie zum Sichern Ihrer benutzerdefinierten Firewallregeln den Befehl
cp
aus, um die Regeln in eine neue Datei zu verschieben.$ sudo cp -r /lib/ufw ~/ufw.backup
Nach dem Upgrade von your GitHub Enterprise Server instance müssen Sie Ihre benutzerdefinierten Firewallregeln erneut anwenden. Sie sollten ein Skript erstellen, um Ihre benutzerdefinierten Firewallregeln erneut anzuwenden.
Standardmäßige Firewallregeln wiederherstellen
Wenn nach dem Ändern der Firewallregeln ein Fehler auftritt, können Sie die Regeln über das ursprüngliche Backup wiederherstellen.
Warnung: Falls Sie die ursprünglichen Regeln nicht gesichert haben, bevor Sie Änderungen an der Firewall vorgenommen haben, kontaktieren Sie GitHub Enterprise-Support oder GitHub Premium-Support, um weitere Unterstützung zu erhalten.
- Stellen Sie eine SSH-Verbindung zu your GitHub Enterprise Server instance her.
$ ssh -p 122 admin@HOSTNAME
- Kopieren Sie zum Wiederherstellen der vorherigen Backup-Regeln diese mithilfe des Befehls
cp
zurück zur Firewall.$ sudo cp -f ~/ufw.backup/*rules /lib/ufw
- Führen Sie den Befehl
systemctl
aus, um die Firewall neu zu starten.$ sudo systemctl restart ufw
- Führen Sie den Befehl
ufw status
aus, um zu bestätigen, dass die Regeln wieder ihre Standardwerte aufweisen.$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)