Linux открыть порт

Открытие порта в Linux включает в себя два основных шага:

1. Разрешить трафик через брандмауэр (firewall). Брандмауэр контролирует входящий и исходящий трафик, и вам нужно разрешить трафик на определенный порт.
2. (Необязательно) Запустить службу, прослушивающую этот порт. Простое открытие порта в брандмауэре не означает, что кто-то сможет к нему подключиться. На этом порту должна работать какая-то служба (например, веб-сервер, SSH-сервер и т.д.).

Вот подробное объяснение:

1. Настройка брандмауэра:

В Linux существует несколько брандмауэров. Наиболее распространенные:

• iptables (устаревшее, но все еще используется в некоторых системах): iptables — это устаревший инструмент командной строки для настройки брандмауэра Netfilter, встроенного в ядро Linux. Он сложен в использовании и требует глубокого понимания сетевых концепций.
• firewalld (рекомендуется для Fedora, CentOS, RHEL): firewalld — это динамический менеджер брандмауэра с поддержкой зон сети, сервисов и правил. Он проще в использовании, чем iptables, и предоставляет более высокий уровень абстракции.
• UFW (Uncomplicated Firewall) (рекомендуется для Ubuntu): UFW — это более простой и дружелюбный интерфейс для управления iptables. Он предназначен для облегчения настройки брандмауэра.
• nftables (современная замена iptables): nftables является современной альтернативой iptables. Он предоставляет более гибкий и эффективный способ фильтрации сетевого трафика. Хотя он мощный, он также может быть сложным в настройке.

1.1 Открытие порта с использованием UFW (Ubuntu):

UFW — самый простой брандмауэр для начинающих.

• Установка UFW (если не установлен):sudo apt update
  sudo apt install ufw
  
• Разрешить трафик на определенный порт:sudo ufw allow <номер_порта>/<протокол>
  <номер_порта>: Номер порта, который вы хотите открыть (например, 80 для HTTP, 22 для SSH).
  <протокол>: Протокол, который использует служба (TCP или UDP). Если вы не уверены, попробуйте TCP.
  Примеры:
  Разрешить входящий TCP-трафик на порт 80:sudo ufw allow 80/tcp
  
  Разрешить входящий UDP-трафик на порт 53:sudo ufw allow 53/udp
  
  Разрешить входящий трафик на порт 22 (SSH) из определенного IP-адреса:sudo ufw allow from <IP_адрес> to any port 22 proto tcp
  Например:sudo ufw allow from 192.168.1.100 to any port 22 proto tcp
  
• Включить UFW:UFW по умолчанию отключен. Чтобы его включить, выполните:sudo ufw enable
  Вам будет предложено подтвердить действие.
• Проверить статус UFW:sudo ufw status
  Эта команда покажет список правил брандмауэра.
• Отключить правило (если нужно):sudo ufw delete allow <номер_порта>/<протокол>
  

1.2 Открытие порта с использованием firewalld (Fedora, CentOS, RHEL):

firewalld использует концепцию “зон” для управления правилами брандмауэра.

• Установка firewalld (если не установлен):sudo dnf install firewalld
  
• Запуск и включение firewalld:sudo systemctl start firewalld
  sudo systemctl enable firewalld
  
• Разрешить трафик на определенный порт:sudo firewall-cmd --add-port=<номер_порта>/<протокол> --permanent
  --add-port: Добавляет правило для указанного порта и протокола.
  <номер_порта>: Номер порта, который вы хотите открыть.
  <протокол>: Протокол, который использует служба (TCP или UDP).
  --permanent: Делает правило постоянным (сохраняется после перезагрузки).
  Примеры:
  Разрешить входящий TCP-трафик на порт 80:sudo firewall-cmd --add-port=80/tcp --permanent
  
  Разрешить входящий UDP-трафик на порт 53:sudo firewall-cmd --add-port=53/udp --permanent
  
• Перезагрузить firewalld для применения изменений:sudo firewall-cmd --reload
  
• Проверить список правил:sudo firewall-cmd --list-all
  Эта команда покажет правила для текущей зоны (обычно public).
• Разрешить трафик только для определенной зоны:sudo firewall-cmd --zone=<имя_зоны> --add-port=<номер_порта>/<протокол> --permanent
  <имя_зоны>: Имя зоны (например, public, home, trusted).
  
• Удалить правило:sudo firewall-cmd --remove-port=<номер_порта>/<протокол> --permanent
  sudo firewall-cmd --reload
  

1.3 Открытие порта с использованием iptables (менее рекомендуется):

iptables требует более глубоких знаний сетевых концепций.

• Разрешить входящий TCP-трафик на порт 80:sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  
• Разрешить входящий UDP-трафик на порт 53:sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
  
• Сохранить правила iptables (чтобы они применялись после перезагрузки):Сохранение правил зависит от вашего дистрибутива. Например, в Debian/Ubuntu:sudo apt install iptables-persistent
  sudo netfilter-persistent save
  
• Важно: Использование iptables без понимания его работы может привести к блокировке всего трафика и потере доступа к системе. Рассмотрите возможность использования UFW или firewalld вместо этого.

1.4 Открытие порта с использованием nftables (для опытных пользователей):

nftables — это современная замена iptables, но ее настройка может быть сложной.

• Установка nftables (если не установлен):sudo apt install nftables # Debian/Ubuntu
  sudo dnf install nftables # Fedora/RHEL/CentOS
  
• Пример конфигурации (простейший случай): Создайте файл /etc/nftables.conf с таким содержимым (подстройте под свои нужды):#!/usr/sbin/nft -f
  
  flush ruleset
  
  table inet filter {
  chain input {
  type filter hook input priority 0; policy drop;
  
  # Allow established connections
  ct state { established, related } accept
  
  # Allow loopback traffic
  iifname "lo" accept
  
  # Allow SSH (port 22)
  tcp dport 22 accept
  
  # Allow HTTP (port 80)
  tcp dport 80 accept
  
  # Allow HTTPS (port 443)
  tcp dport 443 accept
  
  # ICMP (ping)
  icmpv6 type { echo-request, destination-unreachable, packet-too-big, time-exceeded, parameter-problem } accept
  ip protocol icmp icmp type { echo-request, destination-unreachable, time-exceeded, parameter-problem } accept
  
  # Log and drop invalid packets
  ct state invalid log prefix "nftables_invalid " drop
  
  # Drop all other traffic
  # (The default policy is already drop)
  }
  
  chain forward {
  type filter hook forward priority 0; policy drop;
  }
  
  chain output {
  type filter hook output priority 0; policy accept;
  }
  }
  
• Включение и запуск nftables:sudo systemctl enable nftables
  sudo systemctl start nftables
  

2. Запуск службы, прослушивающей порт:

Открытие порта в брандмауэре — только половина дела. Чтобы кто-то мог подключиться к этому порту, на нем должна работать служба, “прослушивающая” этот порт.

• Примеры:Веб-сервер (HTTP/HTTPS): Если вы хотите открыть порты 80 и 443 для веб-сервера, вам нужно установить и настроить веб-сервер, такой как Apache или Nginx.
  SSH-сервер: Для удаленного доступа через SSH должен быть установлен и запущен SSH-сервер (как описано выше).
  Пользовательская служба: Если вы разрабатываете собственную сетевую службу, убедитесь, что она настроена для прослушивания на открытом вами порту.
  

Проверка открытого порта:

Чтобы убедиться, что порт открыт и служба работает, вы можете использовать следующие инструменты:

• netstat или ss (на сервере):sudo netstat -tulnp | grep <номер_порта>
  sudo ss -tulnp | grep <номер_порта> # ss - более новая и быстрая альтернатива
  Эти команды покажут, какие службы прослушивают указанный порт.
• telnet (на клиенте):telnet <IP_адрес_сервера> <номер_порта>
  Если соединение установлено, вы увидите пустой экран или приветственное сообщение от службы. Если соединение не установлено, вы увидите сообщение об ошибке “Connection refused” (соединение отклонено).
• nmap (на клиенте):nmap <IP_адрес_сервера> -p <номер_порта>
  nmap — мощный сканер портов. Он покажет, открыт ли порт и какая служба на нем работает.sudo apt install nmap #Если nmap еще не установлен
  

Общие рекомендации:

• Открывайте только те порты, которые действительно необходимы. Чем меньше открытых портов, тем меньше поверхность атаки для злоумышленников.
• Используйте стойкие пароли или SSH-ключи для служб, требующих аутентификации.
• Поддерживайте программное обеспечение в актуальном состоянии, чтобы исправить известные уязвимости.
• Регулярно проверяйте правила брандмауэра и удаляйте неиспользуемые правила.
• Помните о безопасности! Открытие портов может сделать вашу систему более уязвимой для атак. Убедитесь, что вы понимаете риски, прежде чем открывать порты.

Выбор метода открытия порта зависит от вашего дистрибутива Linux и ваших предпочтений. UFW — отличный выбор для начинающих, firewalld — хороший выбор для Fedora/CentOS/RHEL, а iptables и nftables — для опытных пользователей, которым требуется максимальный контроль. Но всегда помните о безопасности и открывайте только те порты, которые вам действительно необходимы.