О брандмауэре ваш экземпляр GitHub Enterprise Server
GitHub Enterprise Server использует несложный брандмауэр Ubuntu (UFW) на виртуальном модуле. Дополнительные сведения см. в разделе UFW документации по Ubuntu. GitHub Enterprise Server автоматически обновляет список разрешенных служб брандмауэра с каждым выпуском.
После установки GitHub Enterprise Server все необходимые сетевые порты автоматически открываются для приема подключений. Каждый необязательный порт автоматически настроен как deny
, а исходящая политика по умолчанию настроена как allow
. Отслеживание состояния включено для всех новых подключений; обычно это сетевые пакеты с набором битов SYN
. Дополнительные сведения см. в разделе Сетевые порты.
Брандмауэр UFW также открывает несколько других портов, необходимых для правильной работы GitHub Enterprise Server. Дополнительные сведения о наборе правил UFW см. в статье о UFW README.
Мы не рекомендуем настраивать UFW, так как это может усложнить некоторые проблемы с устранением неполадок.
Просмотр правил брандмауэра по умолчанию
-
SSH в ваш экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Замените HOSTNAME именем узла для экземпляра, именем узла или IP-адресом узла. Дополнительные сведения см. в разделе Доступ к административной оболочке (SSH).
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Чтобы просмотреть правила брандмауэра по умолчанию, выполните команду
sudo ufw status
. Должен отобразиться примерно такой результат:$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)
Добавление настраиваемых правил брандмауэра
Warning
Прежде чем добавлять настраиваемые правила брандмауэра, создайте резервную копию текущих правил, если необходимо сбросить его в известное рабочее состояние. Если вы заблокированы на сервере, посетите Поддержка GitHub Enterprise и обратитесь к нам, чтобы перенастроить исходные правила брандмауэра. Восстановление исходных правил брандмауэра включает простой вашего сервера.
-
Настройте настраиваемое правило брандмауэра.
-
Проверьте состояние каждого нового правила с помощью команды
status numbered
.sudo ufw status numbered
-
Чтобы создать резервную копию настраиваемых правил брандмауэра, выполните команду
cp
для перемещения правил в новый файл.sudo cp -r /etc/ufw ~/ufw.backup
После обновления ваш экземпляр GitHub Enterprise Serverнеобходимо повторно применить пользовательские правила брандмауэра. Рекомендуется создать сценарий для повторного применения настраиваемых правил брандмауэра.
Восстановление правил брандмауэра по умолчанию
Если после изменения правил брандмауэра произошла ошибка, можно сбросить правила из исходной резервной копии.
Warning
Если вы не создали резервную копию исходных правил перед внесением изменений в брандмауэр, посетите Поддержка GitHub Enterprise и обратитесь к нам за дополнительной помощью.
-
SSH в ваш экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Замените HOSTNAME именем узла для экземпляра, именем узла или IP-адресом узла. Дополнительные сведения см. в разделе Доступ к административной оболочке (SSH).
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Чтобы восстановить предыдущие правила резервного копирования, скопируйте их обратно в брандмауэр с помощью команды
cp
.sudo cp -f ~/ufw.backup/*rules /etc/ufw
-
Перезапустите брандмауэр, выполнив команду
systemctl
.sudo systemctl restart ufw
-
С помощью команды
ufw status
убедитесь, что правила возвратились к своим значениям по умолчанию.$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)