Включение брандмауэра

Материал из TekonWiki
Перейти к навигацииПерейти к поиску


Настоятельно рекомендуется к ознакомлению при диспетчеризации с использованием сети Интернет

Введение

В последнее время большое количество обращений в службу технической поддержки связано с замечаниями в связи с нестабильной работой контроллеров КИО-2М и/или концентраторов КУН-IPM (далее Устройств) в системе диспетчеризации, построенной с использованием сети Интернет (когда устройства подключаются к сети с глобальным (публичным) IP-адресами).

Во всех случаях размещения оборудования диспетчеризации в глобальной сети Интернет мы рекомендовали создавать защищенную VPN-сеть, которая "изолировала" бы устройства диспетчерского контроля и управления от других пользователей сети. Однако по факту, построение VPN-сети связано с необходимостью приобретения дополнительного оборудования и наличия уверенных знаний в области администрирования компьютерных сетей у настройщика. Что приводит к единичным случаям использования VPN-сетей при построении системы диспетчеризации. В 90% случаев оборудование просто подключается к сети Интернет.

Мониторинг состояния нескольких подобных объектов нашими специалистами выявил повышенную сетевую активность неавторизированных пользователей, пытающихся получить доступ к устройствам или блокирующих работу устройств. Что приводит к периодической неработоспособности ПГС или в некоторых случаях периодических "подвисаниях" устройств.

В связи с чем, мы настоятельно рекомендуем активировать функцию брандмауэра на устройствах, которая на основе фильтрации входящих пакетов блокирует запросы с неавторизированных IP-адресов.

В настоящее время включение брандмауэра осуществляется в ручном режиме путем выполнения описанных ниже действий. В ближайшем будущем данный функционал будет добавлен в прошивку устройств с возможностью настройки через WEB-интерфейс.

Для включения брандмауэра в ручном режиме (за помощью в выполнении указанных операций) вы можете обратиться в службу технической поддержки.

Включение брандмауэра

Для включения брандмауэра версия прошивки устройства должна быть не ниже х.24. Во вкладке "Контроль доступа" должен быть флажок Включить SSH.

Вкладка Контроль доступа

Рассмотрим типовой пример: необходимо настроить брандмауэр на КИО-2М, обменивающийся данными с Пультом-ПК через сеть Интернет.

  • КИО-2М имеет IP-адрес 174.13.17.18
  • Пульт-ПК - 46.34.56.17
  • ПК, с которого обслуживающий персонал периодически осуществляет мониторинг состояния объекта - 174.13.34.16

Следует отметить, что все IP-адреса, приведенные в примере являются публичными (или по крайне мере все адреса всех устройств, которые могут подключаться к КИО-2М являются публичными).

Указанные ниже действия выполняются на машине настройщика (IP 174.13.34.16).

Вам потребуется программа Putty.

  1. Заходим в настройки КИО-2М и устанавливаем флажок "Включить доступ по SSH".
  2. Перезагружаем КИО-2М.
  3. Запускаем программу Putty
    Putty
  4. Указываем IP-адрес КИО-2М, нажимаем Open.
  5. Подтверждаем запрос на добавление RSA-ключа
  6. В открывшемся окне консоли вводим логин и пароль, соответствующие логину и паролю на доступ к WEB-интерфейсу КИО-2М.

Далее в окне консоли набираем следующее (символы "--" и все что за ними является комментарием, набирать их не следует). 

#iptables -A INPUT -s 174.13.34.16 -j ACCEPT   -- принимать запросы с IP-адреса ПК настройщика
#iptables -A INPUT -s 46.34.56.17 -j ACCEPT    -- принимать запросы с ПК диспетчера
#iptables -A INPUT -s 0.0.0.0/0 -j DROP        -- блокировать все остальные входящие соединения

Внимание, после ввода последней команды, запросы со всех не указанных ранее IP-адресов будут блокированы.

Сохраняем правила брандмауэра в файл 

#iptables-save > /etc/iptables.rules

Далее, следует добавить включение брандмауэра в "автозагрузку" 

#vi /etc/rc.sysinit

В открывшемся файле ищем строки (стрелка вниз) 

...

ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
  iptables -F
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i ppp+ -j ACCEPT
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
fi
...

Нажимаем клавишу Ins на клавиатуре и переходим в режим редактирования.

Перед стройкой

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then

добавляем строку

iptables-restore < /etc/iptables.rules 

...

ifconfig lo 127.0.0.1
route add -net 127.0.0.0 netmask 255.0.0.0 lo

iptables-restore < /etc/iptables.rules

if [ "0$PPTP_ENABLED" -gt 0 -a "0$PPTP_DISABLE_ETH0" -gt 0 ]; then
  iptables -F
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i ppp+ -j ACCEPT
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
fi
...

Нажимаем клавишу Esc на клавиатуре - выходим из режима редактирования

Сохраняем файл. Набираем

:w

(символы набора отображаются в последней строке открытого файла. Если это не так, повторно нажать Esc и повторить ввод).

Нажимаем Enter.

:q

(символы набора отображаются в последней строке открытого файла).

Нажимаем Enter.

На этом настройка брандмауэра устройства завершена.

Добавление нового IP-адреса к существующим правилам

Отключение брандмауэра

Невозможно получить доступ к устройству

--Alex 20:47, 23 апреля 2015 (UTC)

Источник — https://wiki.tekon.ru/index.php?title=Включение_брандмауэра&oldid=1221