Jak otwierać porty w systemie Linux?

Chcesz połączyć się z zewnętrznym komputerem lub serwerem — albo potrzebujesz innego komputera lub serwera, aby połączyć się z Tobą? Jeśli używasz Linuksa, musisz upewnić się, że właściwy port jest otwarty.

Podczas gdy inne systemy operacyjne zwykle mają do tego jakieś narzędzie graficzne, Linux nie jest taki prosty. Poniżej omówimy, jak otwierać porty w Linuksie.

Co to jest port i dlaczego powinienem go otwierać?

Port to punkt końcowy w sieci. Pomyśl o tym jak o drzwiach prowadzących do konkretnego pokoju lub świata zewnętrznego, ale na komputerze. Wszystko, co robisz w Internecie, korzysta z określonego portu lub serii portów.

Załóżmy na przykład, że chcesz uruchomić własny serwer Minecraft. Aby to zrobić, musisz otworzyć port, aby użytkownicy mogli się z nim połączyć. To samo dotyczyłoby uruchomienia własnego serwera WWW, poczty lub FTP.

Porty są ustandaryzowane we wszystkich urządzeniach podłączonych do sieci. Pierwsze 1024 porty (od 0 do 1023) są nazywane dobrze znanymi numerami portów . Są one zarezerwowane dla najczęściej używanych usług, takich jak HTTP i HTTP (odpowiednio port 80 i 443) oraz SSH (port 22).

Porty o numerach powyżej 1024 są określane jako porty efemeryczne i zazwyczaj można ich używać do gier online, prywatnych serwerów internetowych i tak dalej. Porty o numerach od 1024 do 49151 nazywane są portami zarejestrowanymi lub użytkownikami , natomiast porty od 49152 do 65535 nazywane są portami dynamicznymi lub prywatnymi .

Wyświetlanie listy otwartych portów w systemie Linux

Zanim zaczniesz próbować otworzyć port w Linuksie, upewnij się, że nie jest on już używany. Możesz to osiągnąć za pomocą polecenia netstat , zawartego w większości dystrybucji Linuksa. Jeśli twoja dystrybucja nie ma netstat , możesz zamiast tego użyć ss .

netstat -lntu

Spowoduje to wydrukowanie wszystkich gniazd nasłuchujących ( -l ) wraz z numerem portu ( -n ). Zawiera porty TCP ( -t ) oraz UDP ( -u ). Jeśli twój system nie ma netstat , po prostu użyj ss z tymi samymi parametrami.

ss -lntu

Jak otwierać porty w systemie Linux?

Na potrzeby tego przykładu załóżmy, że chcemy otworzyć port 4000 na połączenia TCP. Najpierw musimy się upewnić, że port nie jest już używany. Robimy to poprzez netstat lub ss .

netstat -na | grep :4000 ss -na | grep :4000

Zakładając, że wyjście jest puste, możemy dodać odpowiednie reguły portów do zapory systemowej. Sposoby na to będą się różnić w zależności od twojej dystrybucji i tego czy używa nowszej zapory ufw czy firewalld . Ubuntu preferuje ufw , podczas gdy CentOS zwykle używa firewalld . Oczywiście nadal istnieją dystrybucje Linuksa korzystające ze starszej zapory iptables .

Dla użytkowników Ubuntu i innych systemów opartych na zaporze ufw

Zamiast używać starszej zapory iptables , Ubuntu i niektóre inne dystrybucje używają ufw . W tych systemach następujące polecenie otworzy port.

sudo ufw allow 4000

Pomiń kilka następnych kroków i przetestuj nowo otwarty port, aby upewnić się, że działa.

Jak otwierać porty w systemie Linux za pomocą CentOS i innych systemów opartych na firewallu

Jeśli twój system używa firewalld , najlepszym rozwiązaniem jest użycie polecenia firewall-cmd w celu zaktualizowania reguł.

sudo firewall-cmd --add-port=4000/tcp

Nie będzie to trwała zmiana, ale omówimy, jak utrzymać reguły po ponownym uruchomieniu, gdy przetestujemy port.

Dla innych dystrybucji Linuksa

Jeśli twój system Linux nie ma ufw lub firewalld , będziesz musiał użyć iptables . Jeśli nie jest zainstalowany, pobierz go za pomocą wybranego menedżera pakietów. Po zainstalowaniu to polecenie otworzy port 4000:

sudo iptables -A INPUT -p tcp --dport 4000 -j ACCEPT sudo service iptables restart

Jeśli twój system używa systemctl , zastąp drugie polecenie następującym:

sudo systemctl restart iptables

Testowanie nowo otwartych portów pod kątem połączeń

Następnie powinniśmy przetestować port, aby upewnić się, że akceptuje połączenia. Robimy to, używając netcat ( nc ) do nasłuchiwania portu, a następnie próbując połączyć się z nim za pomocą telnetu.

Najpierw otwórz okno terminala i wydaj to polecenie:

sudo ls | nc -l -p 4000

Zostaw to włączone (nasłuchuj) i otwórz drugie okno terminala. W tym oknie użyjesz telnetu do przetestowania łączności. Jeśli telnet nie jest zainstalowany, zrób to za pomocą swojego menedżera pakietów.

telnet [hostname/IP address] [port number]

Zastąp [nazwa hosta/adres IP] adresem IP systemu, a [numer portu] numerem portu, który otworzyłeś.

telnet localhost 4000

Powinieneś zobaczyć takie wyjście poniżej, wskazujące na otwarte połączenie z nc .

Możemy również pokazać, że port jest otwarty za pomocą nmap . Ponownie, jeśli polecenie nie jest jeszcze zainstalowane, użyj menedżera pakietów, aby je pobrać.

nmap localhost -p 4000

Zauważ, że nmap wyświetli tylko otwarte porty, które nasłuchują połączeń. Dlatego używamy netcata do testowania, aby nasłuchiwać na tym porcie. W przeciwnym razie port nie zostanie zarejestrowany jako otwarty.

Nie mogę połączyć się z portem, który właśnie otworzyłem, co teraz?

Jeśli wykonasz wszystkie powyższe kroki i nie możesz nawiązać połączenia z portem, sprawdź dwukrotnie, jak wpisujesz. Jeśli masz pewność, że wszystko zostało wprowadzone poprawnie, prawdopodobnie będziesz musiał ponownie skonfigurować router sieciowy, aby umożliwić ruch.

Ponieważ każdy router sieciowy ma inne ekrany konfiguracyjne, należy zapoznać się ze stronami pomocy technicznej lub podręcznikiem użytkownika danego sprzętu. Musisz sprawdzić ustawienia przekierowania portów lub mapowania portów, a także wbudowaną zaporę sieciową, z której może korzystać router.

Jak na stałe otworzyć port w systemie Linux?

Po przetestowaniu otwartego portu i upewnieniu się, że działa, prawdopodobnie będziesz chciał, aby zmiana była trwała. W przeciwnym razie zmiany mogą nie pozostać po ponownym uruchomieniu. Jeśli jesteś użytkownikiem Ubuntu lub w inny sposób korzystasz z zapory ufw , nie musisz się tym martwić. Reguły ufw nie resetują się po ponownym uruchomieniu.

Dla użytkowników firewalld

Dzięki firewalld , stworzenie reguły portu po restarcie jest łatwe . Po prostu dodaj flagę —permanent do początkowego polecenia, a zostanie ona uwzględniona w regułach zapory systemu Linux podczas uruchamiania.

sudo firewall-cmd --add-port=4000/tcp --permanent

Jeśli nadal używasz iptables

Zapora sieciowa iptables jest znacznie bardziej kłopotliwa (może być to dobry powód, aby uaktualnić do firewalld lub ufw ). Aby „na stałe” otworzyć port w iptables , możesz zainstalować pakiet iptables-persistent , aby pomóc.

Kiedy po raz pierwszy zainstalujesz iptables-persistent w systemie opartym na Debianie, Twoje obecne reguły zostaną zapisane w /etc/iptables/rules.v4 lub /etc/iptables/rules.v6 . Aby dodać nowe reguły, wydaj następujące polecenie:

sudo iptables-save > /etc/iptables/rules.v4

LUB

sudo iptables-save > /etc/iptables/rules.v6

Dla tych, którzy korzystają z dystrybucji Linuksa opartych na RPM, sprawa jest nieco inna. Pakiet nazywa się iptables-services , a pliki zapisu to /etc/sysconfig/iptables i /etc/sysconfig/ip6tables .

W dystrybucjach opartych na RPM istnieje również inne polecenie używane dla portów IPv6. Zapisywanie reguł odbywa się za pomocą jednego z tych dwóch poleceń:

sudo iptables-save > /etc/sysconfig/iptables sudo ip6tables-save > /etc/sysconfig/iptables

Upewnij się, że monitorujesz wykorzystanie portu

W miarę upływu czasu potrzeby serwera mogą się zmieniać. Tak jak powinieneś być na bieżąco z kontami użytkowników na swoim komputerze z systemem Linux, powinieneś również regularnie kontrolować swoje otwarte porty. Zamknij wszystkie otwarte porty, które nie są już potrzebne. Wraz z regularną zmianą hasła jest to dobra praktyka bezpieczeństwa, która pomoże Ci uniknąć włamań do systemu i luk w zabezpieczeniach.