Включение брандмауэра: различия между версиями

Материал из TekonWiki
Перейти к навигацииПерейти к поиску
← Предыдущая правка
ВизуальныйВики-текст
Нет описания правки
 
(не показано 25 промежуточных версий этого же участника)
Строка 1: Строка 1:
[[Category:КИО-2М]]
[[Category:Контроллеры]]
[[Category:Концентратор-IP]]
[[Category:Концентратор-IP]]
''Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет''
== Введение ==  
== Введение ==  
О необходимости включения брандмауэра см. [[Диспетчеризация с использованием публичных сетей]]


В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами).  
'''Внимание!''' 
Только для версий концентраторов [[КУН-IPM]] 1.x, 2.x, 3.x версий < x.55
Во всех случаях размещения оборудования диспетчеризации в глобальной сети Интернет мы рекомендовали создавать защищенную VPN-сеть, которая  "изолировала" бы устройства диспетчерского контроля и управления от других пользователей сети. Однако по факту, построение VPN-сети связано с необходимостью приобретения дополнительного оборудования и наличия уверенных знаний в области администрирования компьютерных сетей у настройщика. Что приводит к единичным случаям использования VPN-сетей при построении системы диспетчеризации.   
Контроллеров [[КИО-2М]], [[КИО-2МД]] версий 3.х, 4.x. версий < x.55
В 90% случаев оборудование просто подключается к сети Интернет.  
 
Мониторинг состояния нескольких подобных объектов нашими специалистами выявил повышенную сетевую активность неавторизированных пользователей, пытающихся получить доступ к устройствам или блокирующих работу устройств. Что приводит к периодической неработоспособности ПГС или в некоторых случаях периодических "подвисаниях" устройств.
 
В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов.  
 
Самый простой способ проверки работы устройства - просмотр лог-файла.
 
Для этого в адресной стройке браузера следует набрать 


  http://IP-адрес-устройства/cgi-bin/log.cgi
  Для версий прошивок [[КУН-IPM]], [[КИО-2М]], [[КИО-2МД]] '''x.55''' (и выше), а также
для [[КУН-IP4]], [[КУН-IP8]] настройка брандмауэра выполняется в WEB-интерфейсе
(см. руководство пользователя на конкретное устройство).


[[Файл:Kio2m_hacker.PNG|500px|thumb|center|Пример вывода лога сообщений на КИО-2М/КУН-IP]]
'''Внимание!''' Если настроены правила брандмауэра, то они не будут сброшены по перемычке DFLT
(вы можете потерять доступ к устройству при сбросе в настройки по умолчанию, не сбросив предварительно правила брандмауэра
или не добавив при настройке правило для сети 192.168.1.0/24, как описано ниже)


На приведенной картинке видно, что к устройству пытаются подключиться и получить доступ неизвестные IP-адреса: 116.100.33.47, 121.101.208.41. При этом запросы на подключения могут происходить постоянно.
В настоящее время включение брандмауэра  осуществляется в ручном режиме путем выполнения описанных ниже действий.
 
В настоящее время включение брандмауэра  осуществляется в ручном режиме путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс.


Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.
Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.
== Включение брандмауэра ==


Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.
Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.
Строка 39: Строка 28:
* Пульт-ПК  - 46.34.56.17
* Пульт-ПК  - 46.34.56.17
* ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16
* ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16
Следует отметить, что все IP-адреса, приведенные в примере являются публичными (или по крайне мере все адреса всех устройств, которые могут подключаться к КИО-2М являются публичными).


Указанные ниже действия выполняются на машине настройщика (IP  174.13.34.16).  
Указанные ниже действия выполняются на машине настройщика (IP  174.13.34.16).  
Строка 47: Строка 34:


# Заходим в настройки КИО-2М и устанавливаем флажок  "Включить доступ по SSH".
# Заходим в настройки КИО-2М и устанавливаем флажок  "Включить доступ по SSH".
# Перезагружаем КИО-2М.
# Запускаем программу Putty [[Файл:Kio2m_putty.PNG|300px|thumb|center|Putty]]  
# Запускаем программу Putty [[Файл:Kio2m_putty.PNG|300px|thumb|center|Putty]]  
# Указываем IP-адрес КИО-2М, нажимаем Open.
# Указываем IP-адрес КИО-2М, нажимаем Open.
Строка 57: Строка 43:
#iptables -A INPUT -s 174.13.34.16 -j ACCEPT  -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 174.13.34.16 -j ACCEPT  -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT    -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT    -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 0.0.0.0/0 -j DROP        -- блокировать все остальные входящие соединения
#iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT -- принимать запросы c IP-адресов сети 192.168.1.1 - 192.168.1.254 (на случай сброса по DFLT)
#iptables -A INPUT -s 0.0.0.0/0 -j DROP        -- блокировать все входящие соединения
</source>
</source>


'''Внимание''', после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.
'''Внимание''', после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.
Для просмотра существующих правил брандмауэра следует подключиться к устройству с помощью программы PuTTY и набрать
<source lang="php">
#iptables -L -v -n --line-number
</source>
Результатом выполнения команды будет информация о настроенных правилах
<source lang="php">
Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num  pkts bytes target    prot opt in    out    source              destination
1      232 18730 ACCEPT    all  --  *      *      174.13.34.16        0.0.0.0/0
2        0    0 ACCEPT    all  --  *      *      46.34.56.17          0.0.0.0/0
3        0    0 ACCEPT    all  --  *      *      192.168.1.0/24      0.0.0.0/0
4        0    0 DROP      all  --  *      *      0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num  pkts bytes target    prot opt in    out    source              destination
Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num  pkts bytes target    prot opt in    out    source              destination
</source>
Порядок обработки входного пакета брандмауэром следующий:
# Выполнить последовательно настроенные правила с первого до последнего
# Если пакет удовлетворяет правилу 1 или 2 (источником пакета является устройство с IP  174.13.34.16 или 46.34.56.17) он будет принят. 
# Если пакет не удовлетворяет правилу 1, 2 или 3 он игнорируется (уничтожается правилом 4).


Сохраняем правила брандмауэра в файл
Сохраняем правила брандмауэра в файл
Строка 137: Строка 153:


На этом настройка брандмауэра устройства завершена.
На этом настройка брандмауэра устройства завершена.
'''Внимание''', при обновлении прошивки устройства правила настройки брандмауэра будут сброшены, брандмауэр будет отключен. Необходимо будет выполнить повторную его настройку.


== Просмотр существующих правил брандмауэра  ==
== Просмотр существующих правил брандмауэра  ==
Для просмотра существующих правил брандмауэра следует подключиться к устройству с помощью программы PuTTY и набрать
<source lang="php">
#iptables -L -v -n --line-number
</source>
Результатом выполнения команды будет информация о настроенных правилах
<source lang="php">
Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num  pkts bytes target    prot opt in    out    source              destination
1      232 18730 ACCEPT    all  --  *      *      174.13.34.16        0.0.0.0/0
2        0    0 ACCEPT    all  --  *      *      46.34.56.17          0.0.0.0/0
3        0    0 DROP      all  --  *      *      0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num  pkts bytes target    prot opt in    out    source              destination
Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num  pkts bytes target    prot opt in    out    source              destination
</source>


== Добавление нового IP-адреса к существующим правилам  ==
== Добавление нового IP-адреса к существующим правилам  ==
Предположим необходимо добавить разрешение для подключения к КИО-2М c IP-адреса  115.17.17.18
Следует подключиться к устройству с помощью программы PuTTY и набрать
<source lang="php">
#iptables -I INPUT -s  115.17.17.18 -j ACCEPT
</source>
Проверить созданное правило
<source lang="php">
#iptables -L -v -n --line-number
</source>
Результатом выполнения команды будет информация о настроенных правилах
<source lang="php">
Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num  pkts bytes target    prot opt in    out    source              destination
1        0    0 ACCEPT    all  --  *      *      115.17.17.18        0.0.0.0/0
2      232 18730 ACCEPT    all  --  *      *      174.13.34.16        0.0.0.0/0
3        0    0 ACCEPT    all  --  *      *      46.34.56.17          0.0.0.0/0
4        0    0 DROP      all  --  *      *      0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num  pkts bytes target    prot opt in    out    source              destination
Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num  pkts bytes target    prot opt in    out    source              destination
</source>
Сохранить настройки
<source lang="php">
#iptables-save >  /etc/iptables.rules
</source>


== Отключение брандмауэра  ==
== Отключение брандмауэра  ==
Для того чтобы сбросить настройки брандмауэра и отключить его следует подключиться к устройству с помощью программы PuTTY и набрать
<source lang="php">
#iptables -F
#rm /etc/iptables.rules
</source>


== Невозможно получить доступ к устройству  ==
== Невозможно получить доступ к устройству  ==


Будьте внимательны при настройке брандмауэра. Если вы совершаете ошибку и теряете связь с устройством (устройство становится недоступным), то единственная возможность восстановить работу - это вернуть верхнюю цифровую плату в отдел гарантийного ремонта. 


Перезагрузка устройства с установленной перемычкой DFLT '''не сбрасывает''' настройки брандмауэра.
 
--[[Участник:Alex|Alex]] 20:47, 23 апреля 2015 (UTC)

Текущая версия от 12:16, 30 ноября 2017

Введение

О необходимости включения брандмауэра см. Диспетчеризация с использованием публичных сетей 

Внимание!  
Только для версий концентраторов КУН-IPM 1.x, 2.x, 3.x  версий < x.55
Контроллеров КИО-2М, КИО-2МД версий 3.х, 4.x. версий < x.55

Для версий прошивок КУН-IPM, КИО-2М, КИО-2МД x.55 (и выше), а также
для КУН-IP4, КУН-IP8 настройка брандмауэра выполняется в WEB-интерфейсе
(см. руководство пользователя на конкретное устройство).

Внимание! Если настроены правила брандмауэра, то они не будут сброшены по перемычке DFLT
(вы можете потерять доступ к устройству при сбросе в настройки по умолчанию, не сбросив предварительно правила брандмауэра
или не добавив при настройке правило для сети 192.168.1.0/24, как описано ниже)

В настоящее время включение брандмауэра осуществляется в ручном режиме путем выполнения описанных ниже действий.

Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.

Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.

Вкладка Контроль доступа

Рассмотрим типовой пример: необходимо настроить брандмауэр на КИО-2М, обменивающийся данными с Пультом-ПК через сеть Интернет.

  • КИО-2М имеет IP-адрес 174.13.17.18
  • Пульт-ПК - 46.34.56.17
  • ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16

Указанные ниже действия выполняются на машине настройщика (IP 174.13.34.16).

Вам потребуется программа Putty.

  1. Заходим в настройки КИО-2М и устанавливаем флажок "Включить доступ по SSH".
  2. Запускаем программу Putty
    Putty
  3. Указываем IP-адрес КИО-2М, нажимаем Open.
  4. Подтверждаем запрос на добавление RSA-ключа
  5. В открывшемся окне консоли вводим логин и пароль, соответствующие логину и паролю на доступ к WEB-интерфейсу КИО-2М.

Далее в окне консоли набираем следующее (символы "--" и все что за ними является комментарием, набирать их не следует). 

#iptables -A INPUT -s 174.13.34.16 -j ACCEPT   -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT    -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT -- принимать запросы c IP-адресов сети 192.168.1.1 - 192.168.1.254 (на случай сброса по DFLT)
#iptables -A INPUT -s 0.0.0.0/0 -j DROP        -- блокировать все входящие соединения

Внимание, после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.

Для просмотра существующих правил брандмауэра следует подключиться к устройству с помощью программы PuTTY и набрать 

#iptables -L -v -n --line-number

Результатом выполнения команды будет информация о настроенных правилах 

Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      232 18730 ACCEPT     all  --  *      *       174.13.34.16         0.0.0.0/0
2        0     0 ACCEPT     all  --  *      *       46.34.56.17          0.0.0.0/0
3        0     0 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Порядок обработки входного пакета брандмауэром следующий:

  1. Выполнить последовательно настроенные правила с первого до последнего
  2. Если пакет удовлетворяет правилу 1 или 2 (источником пакета является устройство с IP 174.13.34.16 или 46.34.56.17) он будет принят.
  3. Если пакет не удовлетворяет правилу 1, 2 или 3 он игнорируется (уничтожается правилом 4).

Сохраняем правила брандмауэра в файл 

#iptables-save > /etc/iptables.rules

Далее, следует добавить включение брандмауэра в "автозагрузку" 

#vi /etc/rc.sysinit

В открывшемся файле ищем строки (стрелка вниз) 

...

ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
  iptables -F
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i ppp+ -j ACCEPT
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
fi
...

Нажимаем клавишу Ins на клавиатуре и переходим в режим редактирования.

Перед стройкой

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then

добавляем строку

iptables-restore < /etc/iptables.rules 

...

ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo

iptables-restore < /etc/iptables.rules

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
  iptables -F
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i ppp+ -j ACCEPT
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
fi
...

Нажимаем клавишу Esc на клавиатуре - выходим из режима редактирования

Сохраняем файл. Набираем

:w

(символы набора отображаются в последней строке открытого файла. Если это не так, повторно нажать Esc и повторить ввод).

Нажимаем Enter.

:q

(символы набора отображаются в последней строке открытого файла).

Нажимаем Enter.

На этом настройка брандмауэра устройства завершена.

Внимание, при обновлении прошивки устройства правила настройки брандмауэра будут сброшены, брандмауэр будет отключен. Необходимо будет выполнить повторную его настройку.

Просмотр существующих правил брандмауэра

Для просмотра существующих правил брандмауэра следует подключиться к устройству с помощью программы PuTTY и набрать 

#iptables -L -v -n --line-number

Результатом выполнения команды будет информация о настроенных правилах 

Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      232 18730 ACCEPT     all  --  *      *       174.13.34.16         0.0.0.0/0
2        0     0 ACCEPT     all  --  *      *       46.34.56.17          0.0.0.0/0
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Добавление нового IP-адреса к существующим правилам

Предположим необходимо добавить разрешение для подключения к КИО-2М c IP-адреса 115.17.17.18

Следует подключиться к устройству с помощью программы PuTTY и набрать 

#iptables -I INPUT -s  115.17.17.18 -j ACCEPT

Проверить созданное правило 

#iptables -L -v -n --line-number

Результатом выполнения команды будет информация о настроенных правилах 

Chain INPUT (policy ACCEPT 32 packets, 1805 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       115.17.17.18         0.0.0.0/0
2      232 18730 ACCEPT     all  --  *      *       174.13.34.16         0.0.0.0/0
3        0     0 ACCEPT     all  --  *      *       46.34.56.17          0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 33 packets, 2705 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Сохранить настройки 

#iptables-save >  /etc/iptables.rules

Отключение брандмауэра

Для того чтобы сбросить настройки брандмауэра и отключить его следует подключиться к устройству с помощью программы PuTTY и набрать 

#iptables -F
#rm /etc/iptables.rules

Невозможно получить доступ к устройству

Будьте внимательны при настройке брандмауэра. Если вы совершаете ошибку и теряете связь с устройством (устройство становится недоступным), то единственная возможность восстановить работу - это вернуть верхнюю цифровую плату в отдел гарантийного ремонта.

Перезагрузка устройства с установленной перемычкой DFLT не сбрасывает настройки брандмауэра.

Источник — https://wiki.tekon.ru/index.php?title=Включение_брандмауэра&oldid=4095