Informationen zur Firewall der Ihre GitHub Enterprise Server-Instanz
GitHub Enterprise Server verwendet die Uncomplicated Firewall (UFW) von Ubuntu auf der virtuellen Appliance. Weitere Informationen finden Sie unter „UFW“ in der Ubuntu-Dokumentation. GitHub Enterprise Server automatically updates the firewall allowlist of allowed services with each release.
Nachdem Sie GitHub Enterprise Server installiert haben, werden automatisch alle erforderlichen Netzwerkports zum Akzeptieren der Verbindungen geöffnet. Jeder nicht erforderliche Port wird automatisch als deny
(verweigern) konfiguriert, und die standardmäßige Richtlinie für ausgehende Verbindungen wird als allow
(zulassen) konfiguriert. Die Zustandsverfolgung ist für neue Verknüpfungen aktiviert. In der Regel handelt es sich dabei um Netzwerkpakete mit dem Bitsatz SYN
. Weitere Informationen finden Sie unter „Netzwerkports“.
Die UWF-Firewall öffnet zudem verschiedene Ports, die für die ordnungsgemäße Funktion von GitHub Enterprise Server erforderlich sind. Weitere Informationen zum UFW-Regelsatz finden Sie in der „UFW README“.
Standardmäßige Firewallregeln anzeigen
- Stelle eine SSH-Verbindung zu Ihre GitHub Enterprise Server-Instanz her.
$ ssh -p 122 admin@HOSTNAME
- Führen Sie den Befehl
sudo ufw status
aus, um die standardmäßigen Firewallregeln anzuzeigen. Es sollte in etwa folgende Ausgabe angezeigt werden:$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)
Benutzerdefinierte Firewallregeln hinzufügen
Warning: Before you add custom firewall rules, back up your current rules in case you need to reset to a known working state. Falls Ihr Server für Sie gesperrt ist, kontaktieren Sie GitHub Enterprise-Support oder GitHub Premium-Support, um die ursprünglichen Firewallregeln neu zu konfigurieren. Die Wiederherstellung der ursprünglichen Firewallregeln führt zu Ausfallzeiten für Ihren Server.
- Konfigurieren Sie eine benutzerdefinierte Firewallregel.
- Führen Sie den Befehl
status numbered
aus, um den Status jeder neuen Regel zu überprüfen.$ sudo ufw status numbered
- Führen Sie zum Sichern Ihrer benutzerdefinierten Firewallregeln den Befehl
cp
aus, um die Regeln in eine neue Datei zu verschieben.$ sudo cp -r /lib/ufw ~/ufw.backup
Nach dem Upgrade von Ihre GitHub Enterprise Server-Instanz müssen Sie Ihre benutzerdefinierten Firewallregeln erneut anwenden. Sie sollten ein Skript erstellen, um Ihre benutzerdefinierten Firewallregeln erneut anzuwenden.
Standardmäßige Firewallregeln wiederherstellen
Wenn nach dem Ändern der Firewallregeln ein Fehler auftritt, können Sie die Regeln über das ursprüngliche Backup wiederherstellen.
Warning: If you didn't back up the original rules before making changes to the firewall, contact GitHub Enterprise-Support oder GitHub Premium-Support for further assistance.
- Stelle eine SSH-Verbindung zu Ihre GitHub Enterprise Server-Instanz her.
$ ssh -p 122 admin@HOSTNAME
- Kopieren Sie zum Wiederherstellen der vorherigen Backup-Regeln diese mithilfe des Befehls
cp
zurück zur Firewall.$ sudo cp -f ~/ufw.backup/*rules /lib/ufw
- Führen Sie den Befehl
systemctl
aus, um die Firewall neu zu starten.$ sudo systemctl restart ufw
- Führen Sie den Befehl
ufw status
aus, um zu bestätigen, dass die Regeln wieder ihre Standardwerte aufweisen.$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)