Acerca del firewall de your GitHub Enterprise Server instance
GitHub Enterprise Server utiliza Ubuntu's Uncomplicated Firewall (UFW) en el aparato virtual. Para más información, vea "UFW" en la documentación de Ubuntu. Con cada lanzamiento, GitHub Enterprise Server actualiza automáticamente la lista blanca de los servicios permitidos del firewell.
Después de que instales GitHub Enterprise Server, se abren automáticamente todos los puertos de red obligatorios para aceptar las conexiones. Cada puerto no obligatorio se configura automáticamente como deny
y la directiva predeterminada resultante se configura como allow
. Se habilita el seguimiento con estado para todas las conexiones nuevas, que suelen ser paquetes de red con el bit SYN
establecido. Para más información, vea "Puertos de red".
El firewall de UFW también abre varios puertos más que son obligatorios para que GitHub Enterprise Server funcione correctamente. Para más información sobre el conjunto de reglas de UFW, vea el archivo Léame de UFW.
Ver las reglas de firewell predeterminadas
-
SSH en your GitHub Enterprise Server instance. Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Para obtener más información acerca del acceso a SSH, consulta "Acceso al shell administrativo (SSH)".
$ ssh -p 122 admin@HOSTNAME
-
Para ver las reglas de firewall predeterminadas, use el comando
sudo ufw status
. Debería mostrarse una salida similar a esta:$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)
Agregar reglas de firewell personalizadas
Advertencia: Antes de agregar reglas de firewall personalizadas, haga una copia de seguridad de las reglas actuales en caso de que tenga que restablecer a un estado de funcionamiento conocido. Si estás bloqueado de tu servidor, comunícate con Soporte de GitHub Enterprise para reconfigurar las reglas originales del firewall. Restaurar las reglas originales del firewall implica tiempo de inactividad para tu servidor.
- Configura una regla de firewall personalizada.
- Compruebe el estado de cada nueva regla con el comando
status numbered
.$ sudo ufw status numbered
- Para hacer una copia de seguridad de las reglas de firewall personalizadas, use el comando
cp
para mover las reglas a un archivo nuevo.$ sudo cp -r /etc/ufw ~/ufw.backup
Después de actualizar your GitHub Enterprise Server instance, debe volver a aplicar las reglas de firewall personalizadas. Recomendamos que crees un script para volver a aplicar las reglas de firewall personalizadas.
Restaurar las reglas de firewell predeterminadas
Si algo sale mal después de que cambies las reglas de firewell, puedes restablecer las reglas desde la copia de seguridad original.
Advertencia: Si no ha realizado una copia de seguridad de las reglas originales antes de efectuar cambios en el firewall, póngase en contacto con Soporte de GitHub Enterprise para obtener más asistencia.
-
SSH en your GitHub Enterprise Server instance. Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Para obtener más información acerca del acceso a SSH, consulta "Acceso al shell administrativo (SSH)".
$ ssh -p 122 admin@HOSTNAME
-
Para restablecer las reglas de la copia de seguridad anterior, vuélvalas a copiar en el firewell con el comando
cp
.$ sudo cp -f ~/ufw.backup/*rules /etc/ufw
-
Reinicie el firewall con el comando
systemctl
.$ sudo systemctl restart ufw
-
Confirme que las reglas han recuperado sus valores predeterminados con el comando
ufw status
.$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)