یکی از مسائل مهم در مدیریت سیستم ها و سرور لینوکس، باز کردن پورت در فایروال برای دسترسی به برنامهها و سرویسها است. باز کردن پورتها در فایروال به این معناست که اجازهی ارتباط برنامهها و سرویسها با شبکه و سایر دستگاهها به صورت آزاد میشود. در این آموزش، نحوهی باز کردن پورت در فایروال لینوکس با استفاده از iptables و firewalld توضیح داده میشود.
باز کردن پورت در فایروال سرور لینوکس برای دسترسی به برنامهها و سرویسها است. باز کردن پورت در فایروال به این معناست که اجازهی ارتباط برنامهها و سرویسها با شبکه و سایر دستگاهها به صورت آزاد میشود. در این آموزش، نحوهی باز کردن پورتها در لینوکس با استفاده از iptables و firewalld توضیح داده میشود.
نکته: قبل از شروع، مطمئن شوید که اطلاعات لازم را برای باز کردن پورت در فایروال دارید و همچنین پیشنهاد میشود از کاربر root یا کاربری با دسترسی sudo استفاده کنید.
نحوه باز کردن پورت در فایروال
استفاده از iptables:
- نصب iptables (در صورتی که نصب نشده باشد):
بستهی iptables برای بسیاری از توزیعهای لینوکس پیشفرض است. اگر هنوز نصب نشده است، میتوانید از مدیر بستههای توزیعتان استفاده کنید تا آن را نصب کنید. - باز کردن پورت:
برای باز کردن پورت در فایروال مورد نظر (برای مثال پورت 80 برای وب سرور)، از دستور زیر استفاده کنید:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT- ذخیره تغییرات:
برای ذخیره کردن تغییرات و اجرای آنها، دستور زیر را وارد کنید:
sudo iptables-save > /etc/iptables/rules.v4استفاده از firewalld:
- بررسی وضعیت firewalld:
برای اطمینان از اجرای firewalld، دستور زیر را وارد کنید:
sudo systemctl status firewalld- اگر firewalld فعال نیست، با استفاده از دستور زیر آن را فعال کنید:
sudo systemctl enable firewalld
sudo systemctl start firewalld- باز کردن پورت در فایروال :
برای باز کردن پورت مورد نظر (برای مثال پورت 80 برای وب سرور)، از دستور زیر استفاده کنید:
sudo firewall-cmd --add-port=80/tcp --permanent- اعمال تغییرات:
برای اعمال تغییرات در فایروال، از دستور زیر استفاده کنید:
sudo firewall-cmd --reloadاستفاده از UFW در اوبونتو:
- نصب ufw (در صورتی که نصب نشده باشد):
ufw در بسیاری از توزیعهای ubuntu پیشفرض نصب است. اگر هنوز نصب نشده است، میتوانید از طریق دستور زیر آن را نصب کنید:
sudo apt update
sudo apt install ufw- باز کردن پورت:
برای باز کردن پورت در فایروال مورد نظر (برای مثال پورت 80 برای وب سرور)، از دستور زیر استفاده کنید:
sudo ufw allow 80/tcp- ذخیره تغییرات:
برای ذخیره کردن تغییرات و اجرای آنها، دستور زیر را وارد کنید:
sudo ufw enable
با اجرای این مراحل، پورت مورد نظر شما در کرنل لینوکس باز شده است و برنامهها و سرویسهای مرتبط میتوانند به آن دسترسی داشته باشند. همچنین توجه داشته باشید که از امنیت بالایی برای پورتها و سرویسهای خود مطمئن شوید و تنظیمات فایروال و باز کدن پورت در فایروال را به مطابقت با نیازهای سیستم خود انجام دهید.
استفاده از ابزارهای مرتبط با فایروال برای تقویت امنیت سرورها و سایتهای وبی یکی از اصلی ترین وظایف مدیران سیستم و وبسایتهاست. دوت از ابزارهای مهم در این زمینه، iptables و firewalld هستند.
1. فایروال iptables:
Iptables یک ابزار فایروال برای سیستمعاملهای لینوکس است که به مدیران سرور امکان مدیریت باز کردن پورت در فایروال و ترافیک شبکه و کنترل دسترسی به سرور را میدهد. این ابزار از قوانین (rules) و زنجیرهها (chains) تشکیل شده است. قوانین تصمیمگیری میکنند که چه ترافیکی به سرور و چه ترافیکی مسدود شود. زنجیرهها به مدیران اجازه میدهند تا ترتیب اعمال قوانین را مشخص کنند. Iptables یک ابزار قدرتمند و انعطافپذیر است که برای مدیریت امنیت سرور بسیار مفید است.
2. فایروال firewalld:
Firewalld
یک ابزار مدیریتکننده فایروال برای توزیعهای CentOS و Fedora است. این ابزار به عنوان یک لایه انتزاعی بر روی iptables عمل میکند و تسهیلکنندهای برای مدیریت فایروال در این توزیعهاست. با firewalld، میتوان به سادگی قوانین و قوانین امنیتی را تعریف کرده و به طور دینامیک تغییرات را اعمال کرد. این ابزار برای تسریع و سهولت در مدیریت فایروال بسیار مفید است.
3. فایروال UFW:
UFW مخفف Uncomplicated Firewall است و یک ابزار ساده برای مدیریت فایروال در سیستمعاملهای لینوکس بر پایه iptables میباشد. فایروال یک ابزار امنیتی است که کنترل دسترسی به ترافیک شبکه را بر روی یک سیستم یا شبکه مشخص میکند. UFW برای سادهتر کردن تنظیمات فایروال در سیستمعاملهای مبتنی بر Debian مانند اوبونتو طراحی شده است.
با استفاده از UFW، کاربران میتوانند با دستورات ساده و قابل درک، قوانین فایروال را تنظیم، مدیریت، و نظارت کنند. این ابزار از زیرساخت iptables استفاده میکند اما به کاربران امکان میدهد بدون نیاز به دانش عمیق در زمینه iptables، به راحتی کنترل فایروال خود را انجام دهند.
استفاده از UFW به عنوان یک واسط کاربری ساده برای iptables، به افرادی که به دنبال یک راه ساده و کارآمد برای مدیریت فایروال هستند، کمک میکند.
نقش آنها در امنیت سرور:
استفاده صحیح و باز کردن پورت در فایروال iptables و firewalld میتواند به تقویت امنیت سرور و جلوگیری از حملات مخرب کمک کند.با باز کردن پورت در فایروال به مدیران سرور این امکان را میدهد تا ترافیک مشکوک و حملاتی مانند DDoS را به درستی مدیریت کنند. با تنظیم rule های مناسب در این ابزارها، میتوان از دسترسی غیرمجاز به سرور جلوگیری کرد و امنیت را تضمین کرد.
یکی از اصول اساسی امنیت سرورها، کنترل دقیق دسترسی به پورتها است. پورتها واسطههایی هستند که برای ارسال و دریافت دادهها از و به سرور استفاده میشوند. در این مقاله، ما به بررسی انواع پورتها و نکاتی که باید در تنظیم فایروال در باز کردن پورت در فایروال برای امنیت سرور در نظر گرفته شوند، خواهیم پرداخت.
انواع پورتها:
1. پورت TCP:
پورتهای TCP (Transmission Control Protocol) برای انتقال دادهها به صورت اتصالی به کار میروند و اطمینان حاصل میکنند که دادهها به ترتیب و بدون از دست دادن منتقل میشوند. پورتهای TCP برای بسیاری از خدمات از جمله وب (پورت 80 برای HTTP و پورت 443 برای HTTPS)، ارسال و دریافت ایمیل (پورت 25 برای SMTP و پورت 110 برای POP3) و بسیاری دیگر استفاده میشوند.
2. پورت UDP:
پورتهای UDP (User Datagram Protocol) برای انتقال دادهها به صورت بدون اتصال به کار میروند. این نوع پورتها برای برخی خدماتی که به سرعت انتقال دادهها بدون اطمینان از ترتیب مهم هستند، مانند VoIP و بازیهای آنلاین، استفاده میشوند.
رنج پورتها:
هر پورت TCP یا UDP دارای یک شماره منحصر به فرد است که بین 1 تا 65535 قرار دارد. این شمارهها به عنوان شماره پورت شناخته میشوند. رنج پورتها به دو دسته اصلی تقسیم میشوند:
- پورتهای معروف (Well-Known Ports): پورتهای با شمارههای کمتر از 1024 که به خدمات مشخصی تخصیص داده شدهاند. مثلاً پورت 80 برای HTTP و پورت 443 برای HTTPS.
- پورتهای مخصوص (Registered Ports): پورتهای با شمارههای بین 1024 تا 49151 که برای استفاده توسط برنامهها و خدمات خاص تعریف میشوند.
تنظیم فایروال:
برای تنظیم فایروال و باز کردن پورت در فایروال ، مدیران سرور باید تصمیم بگیرند که کدام پورتها باید در فایروال باز و یا بسته شوند. این تصمیمگیری باید با توجه به نیازهای سرور و امنیت آن انجام شود. معمولاً:
- پورتهای معروفی که به خدمات مهمی اختصاص دارند (مانند HTTP، HTTPS، SSH، FTP و …) باید باز باشند.
- پورتهایی که برای استفاده توسط برنامههای خاصی تعریف شدهاند، باید بسته شوند مگر اینکه برای عمومیت نیاز داشته باشید.
- پورتهایی که بدون دلیل مشخص باز باشند، باید بسته شوند تا از حملات مخرب جلوگیری شود.
در نهایت، تنظیمات فایروال باید به طور دورهای بررسی و بهروزرسانی شوند و باز کردن پورت در فایروال در صورت لزوم صورت پذیرد تا امنیت سرور حفظ شود و خدمات سرور به درستی ارائه شوند.
8 پاسخ به “باز کردن پورت در فایروال لینوکس در 3 مرحله”
ممنون از مقاله کاملتون . لطفا آموزش باز کردن پورت برروی یک آی پی یا رنج آی پی خاص را هم بزارید
ممنون از لطف شما.
بله حتما این مورد بررسی و انجام خواهد شد
توی فایروال ویندوز برای باز کردن پورت ICMP چکار باید کنیم؟
برای باز کردن ICMP در ویندوز فقط کافیه در بخش ادونس فایروال به دنبال rule های زیر بگردید و هر 4 تا را allow کنید:
File and Printer Sharing (Echo Request – ICMPv4-In)
File and Printer Sharing (Echo Request – ICMPv6-In)
به زودی مقاله ای در خصوص کلیه تنظیمات فایروال ویندوز در سایت قرار خواهد گرفت.
ممنون از توضیحات کاملتون .
برای تغییر پورت ssh باید چکار کنم؟ امکانش هست راهنمایی کنید
ممنون، پورت ssh در حالت عادی 22 میباشد که برای تغییر آن باید فایل
/etc/ssh/sshd.confرا ابتدا ویرایش کنید . برای ویرایش فایل مذکور میتوانید از vi , vim و nano استفاده کنید. بعد از تغییر پورت حتما و حتما پورت را داخل فایوال اضافه کنید تا دسترسی شما قطع نگردد و سپس با دستور systemctl restart ssh سرویس SSH را ریست دهید.با سلام سروری که ایران اکسس شده دسترسی از خارج بسته شده و فقط از داخل به خارج دسترسی داریم چه کاری را انجام دهیم؟
ایا قوانین خاصی توی داریکتوری ها تعریف شده
سلام
معمولا سرور های ایران اکسس از شرکت ارتباط زیرساخت به داخل ایران محدود میشوند و در اصطلاح فنی در گیت وی خروجی کشور بلک هول میشند. از طریق
curl showip.netای پی خودتون چک کنید . اگر با ای پی سرور یکی بود یعنی میزبان شما ، شما را محدود کرده ولی اگر یکی نبود باید از شرکت زیرساخت پیگیری کنید