Како отворити портове у Линуку

Како да

Од странеЈефф Буттс

Последњи пут ажурирано1. марта 2022. године

Треба да се повежете са спољним рачунаром или сервером—или вам је потребан други рачунар или сервер да се повежете са вама? Ако користите Линук, мораћете да се уверите да је прави порт отворен.

Док други оперативни системи обично имају неки графички алат за ово, Линук није тако једноставан. У наставку ћемо вас провести кроз како да отворите портове у Линуку.

Шта је порт и зашто бих требао да га отворим?

Порт је крајња тачка на мрежи. Замислите то као врата која воде у одређену собу или спољашњи свет, али на вашем рачунару. Све што радите на интернету користи одређени порт или низ портова.

На пример, рецимо да желите да покренете сопствени Минецрафт сервер. Да бисте то урадили, мораћете да отворите порт преко кога ће се корисници повезати. Исто би важило и за покретање сопственог веб, маил или ФТП сервера.

Луке су стандардизован на свим мрежама повезаним уређаја. Првих 1024 порта (од 0 до 1023) се називају познати бројеви портова. Они су резервисани за најчешће коришћене услуге, као што су ХТТП и ХТТП (порт 80 и 443, респективно) и ССХ (порт 22).

Бројеви портова изнад 1024 се називају ефемерне луке, и обично су вам доступни за ваше игре на мрежи, приватне веб сервере и тако даље. Позивају се бројеви портова од 1024 до 49151 регистровани или корисничких портова, док су они од 49152 до 65535 познати као динамичан или приватне луке.

Навођење отворених портова на Линук-у

Пре него што почнете да покушавате да отворите порт на Линук-у, требало би да се уверите да се већ не користи. Ово можете постићи помоћу нетстат команда, укључена у већину Линук дистрибуција. Ако ваша дистрибуција нема нетстат, можете користити сс уместо тога.

нетстат -лнту. 

Ово ће одштампати све прикључке за слушање (-л), заједно са бројем порта (-н). Укључује ТЦП портове (-т) као и УДП (-у). Ако ваш систем нема нетстат, само користите сс са истим параметрима.

сс -лнту. 

Како отворити портове у Линуку

Зарад овог примера, претпоставићемо да желимо да отворимо порт 4000 за ТЦП везе. Прво морамо да се уверимо да порт већ није у употреби. Ово радимо кроз нетстат или сс.

нетстат -на | греп :4000. сс -на | греп :4000. 

Под претпоставком да је излаз празан, можемо додати одговарајућа правила порта у заштитни зид система. Методе за ово ће се разликовати у зависности од ваше дистрибуције и да ли користи новију уфв заштитни зид или фиреваллд. Убунту фаворизујеуфв, док ЦентОС обично користифиреваллд уместо тога. Наравно, још увек постоје неке Линук дистрибуције које користе старије иптаблес ватрени зид.

За Убунту кориснике и друге системе засноване на уфв заштитном зиду

Уместо да користите старије иптаблес користе заштитни зид, Убунту и неке друге дистрибуције уфв. Под овим системима, следећа команда ће отворити порт.

судо уфв дозволи 4000. 

Прескочите следећих неколико корака и тестирајте свој новоотворени порт да бисте били сигурни да ради.

Како отворити портове у Линуку користећи ЦентОС и друге системе засноване на фиреваллд-у

Ако ваш систем користи фиреваллд, најбоље је да користите фиревалл-цмд команду за ажурирање правила.

судо фиревалл-цмд --адд-порт=4000/тцп. 

Ово неће бити трајна промена, али ћемо покрити како да се правила задрже након поновног покретања када тестирамо порт.

За друге дистрибуције Линука

Ако ваш Линук систем нема уфв или фиреваллд, мораћете да користите иптаблес. Ако није инсталиран, наставите и набавите га помоћу менаџера пакета по избору. Када се инсталира, ове команде ће отворити порт 4000:

судо иптаблес -А ИНПУТ -п тцп --дпорт 4000 -ј ПРИХВАТИ. судо сервице иптаблес рестарт. 

Ако ваш систем користи системцтл, замените другу команду са:

судо системцтл рестарт иптаблес. 

Тестирање новоотворених портова за везе

Затим би требало да тестирамо порт да бисмо били сигурни да прихвата везе. Ово радимо користећи нетцат (нц) да преслуша порт, а затим покуша да га повеже телнет-ом.

Прво отворите прозор терминала и издајте ову команду:

судо лс | нц -л -п 4000. 

Оставите га да ради (слуша) и отворите други прозор терминала. У том прозору ћете користити телнет да тестирате повезаност. Ако телнет није инсталиран, урадите то помоћу менаџера пакета.

телнет [име хоста/ИП адреса] [број порта]

Заменити [име хоста/ИП адреса] са ИП адресом вашег система, и [број порта] са бројем порта који сте отворили.

телнет локални хост 4000. 

Требало би да видите такав излаз испод, што указује на отворену везу са нц.

Такође можемо показати да је порт отворен помоћу нмап. Опет, ако команда већ није инсталирана, користите менаџер пакета да бисте је преузели.

нмап лоцалхост -п 4000. 

Напоменути да нмап ће приказати само отворене портове који ослушкују везе. Зато користимо нетцат за тестирање, да слушамо на том порту. У супротном, порт се неће регистровати као отворен.

Не могу да се повежем на порт који сам управо отворио, шта сада?

Ако прођете кроз све горе наведене кораке и не можете да успоставите везу са портом, поново проверите куцање. Ако сте сигурни да сте све исправно унели, велике су шансе да ћете морати поново да конфигуришете мрежни рутер да бисте дозволили саобраћај.

Пошто сваки мрежни рутер има различите екране за конфигурацију, требало би да консултујете странице подршке или кориснички приручник за вашу конкретну опрему. Мораћете да проверите подешавања за прослеђивање портова или мапирање портова, као и било који уграђени заштитни зид који рутер може да користи.

Како трајно отворити порт у Линуку

Једном када тестирате свој отворени порт и уверите се да ради, вероватно ћете желети да промену учините трајном. У супротном, промене се можда неће задржати након поновног покретања. Ако сте корисник Убунту-а или на други начин користите уфв заштитни зид, не морате да бринете о томе. Тхе уфв правила се не ресетују при поновном покретању.

За кориснике фиреваллд-а

Лако је учинити да се правило порта задржи након поновног покретања фиреваллд. Само додајте -стални означите вашу почетну команду и биће укључена у правила заштитног зида вашег Линук система при покретању.

судо фиревалл-цмд --адд-порт=4000/тцп --перманент. 

Ако још увек користите иптаблес

Тхе иптаблес заштитни зид је много проблематичнији (можда добар разлог за надоградњу на фиреваллд или уфв). Да бисте „трајно“ отворили порт у иптаблес, можете инсталирати иптаблес-персистент пакет за помоћ.

Када први пут инсталирате иптаблес-персистент на систему заснованом на Дебиан-у, сачуваће ваша тренутна правила у било које од њих /etc/iptables/rules.v4 или /etc/iptables/rules.v6. Да бисте додали нова правила, издаћете следећу команду:

судо иптаблес-саве > /етц/иптаблес/рулес.в4. 

ИЛИ

судо иптаблес-саве > /етц/иптаблес/рулес.в6. 

За оне који користе Линук дистрибуције засноване на РПМ-у, то је мало другачије. Пакет се зове иптаблес-сервицес, а сачуване датотеке су /etc/sysconfig/iptables и /etc/sysconfig/ip6tables.

У дистрибуцијама заснованим на РПМ-у, постоји и друга команда која се користи за ИПв6 портове. Чување ваших правила се врши помоћу једне од ове две команде:

судо иптаблес-саве > /етц/сисцонфиг/иптаблес. судо ип6таблес-саве > /етц/сисцонфиг/иптаблес. 

Обавезно пратите употребу порта

Како време пролази, потребе вашег сервера се могу променити. Баш како треба будите у току са корисничким налозима на вашој Линук машини, такође бисте требали редовно ревидирати своје отворене портове. Затворите све отворене портове који више нису потребни. Уз редовно промените своју лозинку, ово је добра безбедносна пракса која ће вам помоћи да избегнете упаде у систем и безбедносне експлоатације.