Включение брандмауэра: различия между версиями
Alex (обсуждение | вклад) Новая страница: «Category:КИО-2М Category:Концентратор-IP ''Настоятельно рекомендуется к ознакомлению при диспе…» |
Alex (обсуждение | вклад) Нет описания правки |
||
| Строка 4: | Строка 4: | ||
''Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет'' | ''Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет'' | ||
== Введение == | |||
В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами). | В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами). | ||
| Строка 14: | Строка 15: | ||
В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов. | В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов. | ||
В настоящее время включение брандмауэра осуществляется путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс. | В настоящее время включение брандмауэра осуществляется в ручном режиме путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс. | ||
Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки. | |||
== Включение брандмауэра == | |||
Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH. | |||
[[Файл:Kio2m_ssh.PNG|400px|thumb|center|Вкладка Контроль доступа]] | |||
Рассмотрим типовой пример: необходимо настроить брандмауэр на КИО-2М, обменивающийся данными с Пультом-ПК через сеть Интернет. | |||
* КИО-2М имеет IP-адрес 174.13.17.18 | |||
* Пульт-ПК - 46.34.56.17 | |||
* ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16 | |||
Следует отметить, что все IP-адреса, приведенные в примере являются публичными (или по крайне мере все адреса всех устройств, которые могут подключаться к КИО-2М являются публичными). | |||
Указанные ниже действия выполняются на машине настройщика (IP 174.13.34.16). | |||
Вам потребуется программа [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Putty]. | |||
# Заходим в настройки КИО-2М и устанавливаем флажок "Включить доступ по SSH". | |||
# Перезагружаем КИО-2М. | |||
# Запускаем программу Putty [[Файл:Kio2m_putty.PNG|300px|thumb|center|Putty]] | |||
# Указываем IP-адрес КИО-2М, нажимаем Open. | |||
# Подтверждаем запрос на добавление RSA-ключа | |||
# В открывшемся окне консоли вводим логин и пароль, соответствующие логину и паролю на доступ к WEB-интерфейсу КИО-2М. | |||
Далее в окне консоли набираем следующее (символы "--" и все что за ними является комментарием, набирать их не следует). | |||
<source lang="php"> | |||
#iptables -A INPUT -s 174.13.34.16 -j ACCEPT -- принимать запросы с IP-адреса ПК настройщика | |||
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT -- принимать запросы с ПК диспетчера | |||
#iptables -A INPUT -s 0.0.0.0/0 -j DROP -- блокировать все остальные входящие соединения | |||
</source> | |||
'''Внимание''', после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы. | |||
Сохраняем правила брандмауэра в файл | |||
<source lang="php"> | |||
#iptables-save > /etc/iptables.rules | |||
</source> | |||
Далее, следует добавить включение брандмауэра в "автозагрузку" | |||
<source lang="php"> | |||
#vi /etc/rc.sysinit | |||
</source> | |||
В открывшемся файле ищем строки (стрелка вниз) | |||
<source lang="php"> | |||
... | |||
ifconfig lo 127.0.0.1 | |||
route add -net 127.0.0.0 netmask 255.0.0.0 lo | |||
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then | |||
iptables -F | |||
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT | |||
iptables -A INPUT -i ppp+ -j ACCEPT | |||
iptables -P INPUT DROP | |||
iptables -P OUTPUT ACCEPT | |||
fi | |||
... | |||
</source> | |||
Нажимаем клавишу ''Ins'' на клавиатуре и переходим в режим редактирования. | |||
Перед стройкой | |||
''if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then'' | |||
добавляем строку | |||
''iptables-restore < /etc/iptables.rules'' | |||
<source lang="php"> | |||
... | |||
ifconfig lo 127.0.0.1 | |||
route add -net 127.0.0.0 netmask 255.0.0.0 lo | |||
iptables-restore < /etc/iptables.rules | |||
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then | |||
iptables -F | |||
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT | |||
iptables -A INPUT -i ppp+ -j ACCEPT | |||
iptables -P INPUT DROP | |||
iptables -P OUTPUT ACCEPT | |||
fi | |||
... | |||
</source> | |||
Нажимаем клавишу ''Esc'' на клавиатуре - выходим из режима редактирования | |||
Сохраняем файл. Набираем | |||
'':w'' | |||
(символы набора отображаются в последней строке открытого файла). | |||
Нажимаем Enter. | |||
'':q'' | |||
(символы набора отображаются в последней строке открытого файла). | |||
Нажимаем Enter. | |||
На этом настройка брандмауэра устройства завершена. | |||
== Добавление нового IP-адреса к существующим правилам == | |||
== Отключение брандмауэра == | |||
== Невозможно получить доступ к устройству == | |||
Версия от 09:45, 24 апреля 2015
Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет
Введение
В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами).
Во всех случаях размещения оборудования диспетчеризации в глобальной сети Интернет мы рекомендовали создавать защищенную VPN-сеть, которая "изолировала" бы устройства диспетчерского контроля и управления от других пользователей сети. Однако по факту, построение VPN-сети связано с необходимостью приобретения дополнительного оборудования и наличия уверенных знаний в области администрирования компьютерных сетей у настройщика. Что приводит к единичным случаям использования VPN-сетей при построении системы диспетчеризации. В 90% случаев оборудование просто подключается к сети Интернет.
Мониторинг состояния нескольких подобных объектов нашими специалистами выявил повышенную сетевую активность неавторизированных пользователей, пытающихся получить доступ к устройствам или блокирующих работу устройств. Что приводит к периодической неработоспособности ПГС или в некоторых случаях периодических "подвисаниях" устройств.
В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов.
В настоящее время включение брандмауэра осуществляется в ручном режиме путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс.
Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.
Включение брандмауэра
Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.
Рассмотрим типовой пример: необходимо настроить брандмауэр на КИО-2М, обменивающийся данными с Пультом-ПК через сеть Интернет.
- КИО-2М имеет IP-адрес 174.13.17.18
- Пульт-ПК - 46.34.56.17
- ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16
Следует отметить, что все IP-адреса, приведенные в примере являются публичными (или по крайне мере все адреса всех устройств, которые могут подключаться к КИО-2М являются публичными).
Указанные ниже действия выполняются на машине настройщика (IP 174.13.34.16).
Вам потребуется программа Putty.
- Заходим в настройки КИО-2М и устанавливаем флажок "Включить доступ по SSH".
- Перезагружаем КИО-2М.
- Запускаем программу Putty
Putty - Указываем IP-адрес КИО-2М, нажимаем Open.
- Подтверждаем запрос на добавление RSA-ключа
- В открывшемся окне консоли вводим логин и пароль, соответствующие логину и паролю на доступ к WEB-интерфейсу КИО-2М.
Далее в окне консоли набираем следующее (символы "--" и все что за ними является комментарием, набирать их не следует).
#iptables -A INPUT -s 174.13.34.16 -j ACCEPT -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 0.0.0.0/0 -j DROP -- блокировать все остальные входящие соединения
Внимание, после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.
Сохраняем правила брандмауэра в файл
#iptables-save > /etc/iptables.rules
Далее, следует добавить включение брандмауэра в "автозагрузку"
#vi /etc/rc.sysinit
В открывшемся файле ищем строки (стрелка вниз)
...
ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
iptables -F
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
fi
...
Нажимаем клавишу Ins на клавиатуре и переходим в режим редактирования.
Перед стройкой
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
добавляем строку
iptables-restore < /etc/iptables.rules
...
ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo
iptables-restore < /etc/iptables.rules
if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
iptables -F
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
fi
...
Нажимаем клавишу Esc на клавиатуре - выходим из режима редактирования
Сохраняем файл. Набираем
:w
(символы набора отображаются в последней строке открытого файла).
Нажимаем Enter.
:q
(символы набора отображаются в последней строке открытого файла).
Нажимаем Enter.
На этом настройка брандмауэра устройства завершена.
Добавление нового IP-адреса к существующим правилам
Отключение брандмауэра
Невозможно получить доступ к устройству
--Alex 20:47, 23 апреля 2015 (UTC)
