Включение брандмауэра: различия между версиями
Alex (обсуждение | вклад) Нет описания правки |
Alex (обсуждение | вклад) |
||
| Строка 116: | Строка 116: | ||
'':w'' | '':w'' | ||
(символы набора отображаются в последней строке открытого файла). | (символы набора отображаются в последней строке открытого файла. Если это не так, повторно нажать Esc и повторить ввод). | ||
Нажимаем Enter. | Нажимаем Enter. | ||
Версия от 11:46, 24 апреля 2015
Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет
Введение
В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами).
Во всех случаях размещения оборудования диспетчеризации в глобальной сети Интернет мы рекомендовали создавать защищенную VPN-сеть, которая "изолировала" бы устройства диспетчерского контроля и управления от других пользователей сети. Однако по факту, построение VPN-сети связано с необходимостью приобретения дополнительного оборудования и наличия уверенных знаний в области администрирования компьютерных сетей у настройщика. Что приводит к единичным случаям использования VPN-сетей при построении системы диспетчеризации. В 90% случаев оборудование просто подключается к сети Интернет.
Мониторинг состояния нескольких подобных объектов нашими специалистами выявил повышенную сетевую активность неавторизированных пользователей, пытающихся получить доступ к устройствам или блокирующих работу устройств. Что приводит к периодической неработоспособности ПГС или в некоторых случаях периодических "подвисаниях" устройств.
В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов.
В настоящее время включение брандмауэра осуществляется в ручном режиме путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс.
Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.
Включение брандмауэра
Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.
Рассмотрим типовой пример: необходимо настроить брандмауэр на КИО-2М, обменивающийся данными с Пультом-ПК через сеть Интернет.
- КИО-2М имеет IP-адрес 174.13.17.18
- Пульт-ПК - 46.34.56.17
- ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16
Следует отметить, что все IP-адреса, приведенные в примере являются публичными (или по крайне мере все адреса всех устройств, которые могут подключаться к КИО-2М являются публичными).
Указанные ниже действия выполняются на машине настройщика (IP 174.13.34.16).
Вам потребуется программа Putty.
- Заходим в настройки КИО-2М и устанавливаем флажок "Включить доступ по SSH".
- Перезагружаем КИО-2М.
- Запускаем программу Putty
Putty - Указываем IP-адрес КИО-2М, нажимаем Open.
- Подтверждаем запрос на добавление RSA-ключа
- В открывшемся окне консоли вводим логин и пароль, соответствующие логину и паролю на доступ к WEB-интерфейсу КИО-2М.
Далее в окне консоли набираем следующее (символы "--" и все что за ними является комментарием, набирать их не следует).
#iptables -A INPUT -s 174.13.34.16 -j ACCEPT -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 0.0.0.0/0 -j DROP -- блокировать все остальные входящие соединения
Внимание, после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.
Сохраняем правила брандмауэра в файл
#iptables-save > /etc/iptables.rules
Далее, следует добавить включение брандмауэра в "автозагрузку"
#vi /etc/rc.sysinit
В открывшемся файле ищем строки (стрелка вниз)
...
ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
iptables -F
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
fi
...
Нажимаем клавишу Ins на клавиатуре и переходим в режим редактирования.
Перед стройкой
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
добавляем строку
iptables-restore < /etc/iptables.rules
...
ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo
iptables-restore < /etc/iptables.rules
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
iptables -F
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
fi
...
Нажимаем клавишу Esc на клавиатуре - выходим из режима редактирования
Сохраняем файл. Набираем
:w
(символы набора отображаются в последней строке открытого файла. Если это не так, повторно нажать Esc и повторить ввод).
Нажимаем Enter.
:q
(символы набора отображаются в последней строке открытого файла).
Нажимаем Enter.
На этом настройка брандмауэра устройства завершена.
Добавление нового IP-адреса к существующим правилам
Отключение брандмауэра
Невозможно получить доступ к устройству
--Alex 20:47, 23 апреля 2015 (UTC)
