Восстановление птс через госуслуги: Восстановить ПТС по утере через Госуслуги на машину 2021, как получить дубликат

Страница не найдена — ГосУслуги

Без рубрики

Перед покупкой оружия для самообороны или спорта, необходимо озаботиться приобретением соответствующего разрешения от государства.

Госуслуги

Гражданам Российской Федерации разрешается пользоваться травматическим огнестрельным оружием, но следует учитывать, что особенности хранения

Официально трудоустроенные граждане ежемесячно отчисляют через работодателя по 13 процентов от своего дохода. Мало

МФЦ

Многофункциональные центры упрощают и ускоряют процесс получения государственных услуг. Сервисы для инвалидов не стали

Госуслуги

Каждый гражданин обязан оплачивать коммунальные услуги, в число которых входит предоставление холодной и горячей

МФЦ

На территории Российской Федерации использование огнестрельного оружия строго регламентировано законодательством. Следует учитывать, что подобные

Страница не найдена — ГосУслуги

Без рубрики

Перед покупкой оружия для самообороны или спорта, необходимо озаботиться приобретением соответствующего разрешения от государства.

Госуслуги

Гражданам Российской Федерации разрешается пользоваться травматическим огнестрельным оружием, но следует учитывать, что особенности хранения

Госуслуги

Официально трудоустроенные граждане ежемесячно отчисляют через работодателя по 13 процентов от своего дохода. Мало

МФЦ

Многофункциональные центры упрощают и ускоряют процесс получения государственных услуг. Сервисы для инвалидов не стали

Госуслуги

Каждый гражданин обязан оплачивать коммунальные услуги, в число которых входит предоставление холодной и горячей

МФЦ

На территории Российской Федерации использование огнестрельного оружия строго регламентировано законодательством. Следует учитывать, что подобные

Страница не найдена — ГосУслуги

Без рубрики

Перед покупкой оружия для самообороны или спорта, необходимо озаботиться приобретением соответствующего разрешения от государства.

Госуслуги

Гражданам Российской Федерации разрешается пользоваться травматическим огнестрельным оружием, но следует учитывать, что особенности хранения

Госуслуги

Официально трудоустроенные граждане ежемесячно отчисляют через работодателя по 13 процентов от своего дохода. Мало

МФЦ

Многофункциональные центры упрощают и ускоряют процесс получения государственных услуг. Сервисы для инвалидов не стали

Госуслуги

Каждый гражданин обязан оплачивать коммунальные услуги, в число которых входит предоставление холодной и горячей

МФЦ

На территории Российской Федерации использование огнестрельного оружия строго регламентировано законодательством. Следует учитывать, что подобные

Потерял СТС, что делать? Как восстановить?

Подробности

Категория: Утеря документов

Если вы потеряли ПТС или СТС от вашего авто, то вам непременно нужно восстановить данные документы. В случае проверки документов и отказа выдачи сотруднику госавтоинспекции СТС, сотрудник вправе отстранить вас от управления транспортным средством или выписать штраф на сумму от 300 до 800р.

Какие документы необходимы для восстановления СТС\ПТС на Госуслугах?

Полный список документов, необходимый для выдачи дубликата выглядит так:

• Паспорт гражданина РФ
• Нотариально заверенной доверенности (для доверенных представителей)
• Паспорта транспортного средства (При утере СТС)
• Регистрационного документа или технического паспорта автомототранспортного средства или прицепа (При утере ПТС)
• Документа, удостоверяющего право собственности на автомототранспортное средство и(или) прицеп либо на номерной агрегат
• Свидетельства о безопасности конструкции транспортного средства
• Страхового полиса ОСАГО

Как восстановить СТС\ПТС на Госуслугах?

Для восстановления СТС\ПТС необходим подтвержденный аккаунт на Госуслугах.

• Перейдите на Госуслуги: www.gosuslugi.ru
• Авторизуйтесь на сайте
• Нажмите на «Каталог услуг»
  
• Перейдите в раздел «Жизненные ситуации»
  
• Из списка найдите «Документы»
  
• Нажмите на «Ваши документы утеряны или украдены?»
  
• Выберите из списка «ПТС и СТС»
  
• Нажмите «Получить услугу»
  
• Выберите тип услуги «Электронная услуга», нажмите «Получить услугу»
  
• Выберите транспортное средство, а также кем вы являетесь
  
• Введите персональные и паспортные данные, адрес проживания
  
• Замена госзнака при утере ПТС или СТС не требуется, выберите «Не требуется», если утерян ПТС нажмите «Получить новый», выберите категорию автомобиля
  
• Введите информацию о ТС
  
• Также вы можете заполнить информацию о страховом полисе, если утерян ПТС введите данные СТС
  
• Выберите отделение ГИБДД, выберите удобное для вас время, нажмите «Подать заявление»
• Вы можете оплатить госпошлину на сайте Госуслуг, затем необходимо приехать на ТС указанном в заявлении к выбранному времени

Сроки и стоимость восстановления СТС\ПТС

Восстановление документа происходит в день прибытия в ГИБДД, не нужно ждать неделю как это было раньше. Цена госпошлины на каждый из видов документов указаны ниже:

Закрепленные

Понравившиеся

Как восстановить ПТС и СТС через Госуслуги

ПТС – очень важный документ для обладателя транспортного средства и является основным документом на автомобиль. С его помощью можно узнать о прошлых владельцах авто, а также о том, какое время они являлись собственниками машины.

Выдается такой документ собственнику автомобиля, не имеет жесткой привязки к текущему владельцу транспортного средства.

Не следует путать паспорт ПТС и свидетельство о регистрации СТС. Это абсолютно два разных документа. Если в паспорте прописаны все важные характеристики автомобиля и владельцы автомобильного средства. То свидетельство выдается непосредственно на текущего владельца авто.

ПТС обязательно понадобится, если в будущем встанет вопрос о продаже машины. Но, если он был испорчен, или, в крайнем случае, утерян, то, всегда можно его восстановить с помощью Госуслуг.

Что делать, если документ был утерян?

В первую очередь займитесь тем, чтобы отыскать оригинал документа, но, если найти его не удалось, следует обратиться к порталу Госуслуг Москвы. Восстановление документации не займет много времени, так что волноваться не стоит. Если вы узнаете о каких-либо махинациях с помощью вашего утерянного ПТС, то следует обратиться в полицию и заявить, что он был утерян. Часто при нахождении такого документа проворачиваются мошеннические схемы с использованием украденного ПТС.

Всегда будьте внимательны и бдительны, когда речь идет о важных документах на ваше транспортное средство, иначе вам не избежать неприятных звонков от мошенников.
Вы решили обратиться за восстановлением документа к Госулугам Мос Ру личный кабинет? Подать заявку на восстановление будет очень просто, так как сделать это можно дистанционно и без затрат.

Как сделать восстановление ПТС через Госулуги

Чтобы избежать длинных очередей, очень часто большинство людей выбирают метод дистанционного заполнения анкеты для восстановления документа. Для того чтобы получить документ, вам лично придется пройти в отдел Госавтоинспекции.В личном кабинете мос ру легкий и простой функционал, если вам что-то показалось непонятным, всегда можно обратиться в техподдержку или задать вопрос консультанту на сайте. Дизайн сайта прост и разберется в нем каждый. Что нужно сделать для виртуального заполнения оформления документов?

Алгоритм действий

1. Для начала вам следует пройти авторизацию на официальном сайте Госуслуг, после чего зайти в личный кабинет. Если вы не были ранее там зарегистрированы, то нужно сделать это сейчас. Регистрация простая и не займет много времени. Стоит отметить, что после регистрации вам на почту придет письмо с данными для входа, следует это письмо сохранить.
2. Теперь, когда вы на сайте, следует зайти в раздел восстановления документации. Выбрать в нем пункт ПТС и СТС, там будет онлайн анкета, вам нужно её заполнить. Следует учесть, что у вас могут запросить паспортные данные, у нового водителя могут попросить данные от страхового полиса ОСАГО.
3. При передаче полномочий владельца лицу, которое будет предоставлять его интересы, потребуется ввести данные требуемой документации.
4. После заполнения нужно нажать на кнопку и отправить заявку.
5. После отправки заявки на восстановление документов, вам нужно выбрать время для того, чтобы записаться на прием в Госавтоинспекцию, перед вами откроется список, и уже из него вы сможете выбрать наиболее подходящий для вас вариант.
6. Далее вам нужно будет оплатить госпошлину, которая всегда присутствует при восстановлении документов. Для пользователей, которые смогут оплатить её безналичным счетом, будет предоставлена скидка в размере 30%.

Для ускорения процедуры оформления заявки на сайте, в профиле должна отображаться основная документация:

• паспорт гражданина;
• ИНН налогоплательщика;
• водительское удостоверение.

После заполнения вы увидите, как информация будет фиксироваться автоматически в информационных полях. Исходя из этого, вы значительно облегчите процесс получения ПТС при заполнении заявки.

Где получить новый документ?

Полное оформление идет только в личном кабинете Госуслуг Москвы, но, получаете вы его исключительно в отделении Госавтоинспекции. Чтобы получить данный документ, нужно прийти в то время, которое вы указывали при заполнении заявки в контору. Предъявить сотруднику ваши данные о заполнении и показать ему анкету. После того как сотрудник проверит всю информацию, он выдаст вам новый дубликат потерянных документов. Проверять он будет исключительно бумаги, а не автомобиль.

Если будет необходимость, то, сотрудник сможет откорректировать или внести поправки в документы, выданные ранее.

Важно! Уже в отделе, при получении требуемого документа, от вас не потребуется никакой налог, так как вы уже все оплатили в личном кабинете Госуслуг при заполнении заявки.

Каким способом ещё можно получить ПТС

Для получения документа есть и другие способы. Существует как минимум 2 варианта для подачи заявки на изготовление дубликата документа.

Первый способ – это обращение в районное МРЕО, а затем отправиться в МФЦ, где можно провести оформление заявки на ПТС. Работники МФЦ примут ваше заявление и передадут его на рассмотрение в ГИБДД. Но, в таком случае скидку в 30% получить уже не удастся, так как такая акция не распространяется на услуги, действующие в МФЦ.

Во втором варианте сотрудник попросит вас написать объяснительную записку. Причина – пропажа документа вашего транспорта. Тут не рекомендуется писать о воровстве авто даже в случае, если она была украдена. Иначе сотрудники смогут принять вашу объяснительную только в случае, если в наличии будет заявление в полицию, и бланк на розыск.
Получение нового документа затянется на длительное время.

Важно! Когда вы приходите в МРЕО или МФЦ, то нужно прийти со всеми документами, которые подтверждают вашу личность. А также со всеми документами о транспортном средстве. Не нужно приносить копии документов, нужен исключительно оригинал. Если у водителя в месте подачи заявления возникают трудности, всегда можно обратиться за помощью к сотрудникам той или иной организации.

Отличие дубликата ПТС от оригинала?

Нужно учитывать тот факт, что, документы, а именно дубликат и оригинал ПТС будут отличаться друг от друга. Оригинальный ПТС выдается производителем транспортного средства, а вот дубликат Госавтоинспекцией. Данные о предыдущем ПТС, который был утерян, также вносятся в документ.

Следует учесть, что в копии новой ПТС обязательно ставится отметка о дубликате документа.

Это все способы, с помощью которых можно восстановить утерянный или испорченный документ. Не нужно забывать, что ПТС – это главный документ о вашем транспорте, лучше его не терять и бережно хранить.

Переводчик – словарь и онлайн перевод на английский, русский, немецкий, французский, украинский и другие языки. | ★ Как перевести «как восстановить птс через госуслуги

Пользователи также искали:

восстановление, по договору купли продажи, и стс, без осаго, получить дубликат, замена, восстановление стс, восстановление птс цена, как восстановить птс по договору купли продажи, как восстановить птс и стс, как восстановить птс без осаго, как получить дубликат птс через госуслуги, замена птс госуслуги, восстановление стс госуслуги, замена птс нет места госуслуги, восстановление птс, госуслуги, птс через госуслуги, как восстановить птс, как восстановить птс через госуслуги, птс, как восстановить, восстановить птс, восстановить, госуслуг, восстановление птс через госуслуги, как, восстановления птс, птс как восстановить, восстановить птс через госуслуги,

Размеры государственных пошлин, банковские реквизиты для ее уплаты

Согласно ст. 333.35 ч. 2 налогового кодекса РФ (в ред. ФЗ от 30 ноября 2016 г. № 402-ФЗ) размеры государственных пошлин, установленные настоящей главой за совершение юридически значимых действий в отношении физических лиц, применяются с учетом коэффициента 0,7 в случае подачи заявления о совершении указанных юридически значимых действий и уплаты соответствующей государственной пошлины с использованием единого портала государственных и муниципальных услуг.

Иными словами действует 30% скидка на оплату госпошлин при подаче заявления и оплаты через сайт gosuslugi.ru.

¹ПТС/ ЭПТС — Паспорт транспортного средства, электронный паспорт транспортного средства
²СОР — Свидетельство о регистрации транспортного средства

Используйте продукты Apple в корпоративных сетях

Узнайте, какие хосты и порты необходимы для использования продуктов Apple в корпоративных сетях.

Эта статья предназначена для администраторов сетей предприятий и учебных заведений.

требуется доступ к Интернет-узлам, указанным в этой статье, для различных услуг. Вот как ваши устройства подключаются к хостам и работают с прокси:

• Сетевые подключения к указанным ниже хостам инициируются устройством, а не хостами, управляемыми Apple.
• Службы Apple отключают любое соединение, использующее перехват HTTPS (проверка SSL). Если трафик HTTPS проходит через веб-прокси, отключите перехват HTTPS для хостов, перечисленных в этой статье.

Убедитесь, что ваши устройства Apple имеют доступ к хостам, перечисленным ниже.

Apple Push-уведомления

Узнайте, как устранить неполадки при подключении к службе Apple Push Notification (APN). Для устройств, которые отправляют весь трафик через прокси-сервер HTTP, вы можете настроить прокси-сервер вручную на устройстве или с помощью профиля конфигурации. Начиная с macOS 10.15.5, устройства могут подключаться к APN, если они настроены на использование прокси-сервера HTTP с файлом автоконфигурации прокси (PAC).

Настройка устройства

Доступ к следующим хостам может потребоваться при настройке устройства, а также при установке, обновлении или восстановлении операционной системы.

Управление устройствами

Сетевой доступ к следующим хостам может потребоваться для устройств, зарегистрированных в системе управления мобильными устройствами (MDM):

Apple School Manager и Apple Business Manager

Сетевой доступ к следующим хостам, а также к хостам в разделе App Store необходим для полной функциональности Apple School Manager и Apple Business Manager.

Обновления программного обеспечения

Убедитесь, что у вас есть доступ к следующим портам для обновления macOS, приложений из Mac App Store и для использования кэширования содержимого.

macOS, iOS и tvOS

Для установки, восстановления и обновления macOS, iOS и tvOS необходим сетевой доступ к следующим хостам:

Магазин приложений

Для обновления приложений может потребоваться доступ к следующим хостам:

Кэширование содержимого

Для Mac, использующего кэширование содержимого macOS, требуется доступ к следующему хосту:

Разработчик Apple

Для нотариального заверения и проверки приложений требуется доступ к следующим хостам.

Нотариальное заверение приложения

Начиная с macOS 10.14.5, программа проверяется на нотариальное заверение перед запуском. Чтобы эта проверка прошла успешно, Mac должен иметь доступ к тем же хостам, которые указаны в разделе «Убедитесь, что ваш сервер сборки имеет доступ к сети» в настройке рабочего процесса нотариального заверения:

Проверка приложения

Помощник по обратной связи

Feedback Assistant — это приложение, используемое разработчиками и участниками бета-версий программного обеспечения для отправки отзывов в Apple. Он использует следующие хосты:

Диагностика Apple

Apple могут получить доступ к следующему хосту для выполнения диагностики, используемой для обнаружения возможной проблемы с оборудованием:

Разрешение системы доменных имен

Чтобы использовать разрешение зашифрованной системы доменных имен (DNS) в iOS 14, tvOS 14 и macOS Big Sur, необходимо связаться со следующим хостом:

Подтверждение сертификата

Устройства Apple должны иметь возможность подключаться к следующим хостам для проверки цифровых сертификатов, используемых хостами, перечисленными выше:

Межсетевые экраны

Если ваш брандмауэр поддерживает использование имен хостов, вы сможете использовать большинство вышеперечисленных служб Apple, разрешив исходящие подключения к *.apple.com. Если ваш брандмауэр может быть настроен только с IP-адресами, разрешите исходящие подключения к 17.0.0.0/8. Весь блок адресов 17.0.0.0/8 закреплен за Apple.

HTTP-прокси

Вы можете использовать службы Apple через прокси, если отключите проверку пакетов и аутентификацию для трафика к указанным хостам и от них. Исключения из этого указаны выше. Попытки выполнить проверку содержимого при зашифрованном обмене данными между устройствами и службами Apple приведут к разрыву соединения для сохранения безопасности платформы и конфиденциальности пользователей.

Дата публикации: 17 декабря 2020 г.

UDP заблокирована правилом брандмауэра Windows в WSFC — Windows Server

• 08.09.2020
• 3 минуты на чтение

В этой статье

В этой статье представлены решения проблемы, при которой соединение UDP блокируется правилом брандмауэра Windows в WSFC, когда сетевое соединение прерывается, а затем восстанавливается.

Исходная версия продукта: Windows Server 2012 R2
Оригинальный номер базы знаний: 2701206

Симптомы

В среде Windows Server 2008 R2 входящая UDP-связь может быть заблокирована, когда соединение с сетью прерывается, а затем восстанавливается. Входящие соединения TCP и ICMP также могут быть заблокированы в этой ситуации.

Эта проблема возникает, если входящее соединение UDP разрешено брандмауэром Windows. Одна из служб, на которую может повлиять эта проблема, — это отказоустойчивая кластеризация Windows Server (WSFC).Хотя связь Heartbeat (UDP 3343) может быть включена по умолчанию, связь может быть заблокирована. При возникновении этой проблемы состояние связи в диспетчере отказоустойчивого кластера отображается как «Недоступно».

Примечание

Вы можете ссылаться на настройки входящей UDP-связи брандмауэра Windows из следующего правила:
[Брандмауэр Windows с повышенной безопасностью] — [Правила для входящих]

Причина

Эта проблема возникает из-за проблемы в брандмауэре Windows.Подключение к сети прерывается, а затем восстанавливается, когда брандмауэр Windows перезагружает профиль. В этом случае непреднамеренное правило может заблокировать коммуникационный порт, который требуется в кластере.

Разрешение 1: Используйте команду netsh

Выполните следующие команды netsh в командной строке с повышенными привилегиями:

  netsh advfirewall firewall показывает правило «Отказоустойчивые кластеры (входящий UDP)»
  

  netsh advfirewall firewall устанавливает правило «Отказоустойчивые кластеры (UDP-In)» new enable = no
  

  netsh advfirewall firewall показывает правило «Отказоустойчивые кластеры (входящий UDP)»
  

Примечание

• При использовании этого метода служба кластеров может остановиться.Поэтому, если это возможно, следует остановить службу кластеров перед запуском этого метода, а затем перезапустить службу кластеров после выполнения других шагов.
• При использовании этого метода правило «Отказоустойчивые кластеры (входящий UDP)» также отключается.
• Служба кластеров обеспечивает обмен данными между узлами, устанавливая порт брандмауэра UDP при запуске.

Разрешение 2. Используйте брандмауэр Windows с надстройкой повышенной безопасности

Запустите надстройку консоли управления Microsoft «Брандмауэр Windows в режиме повышенной безопасности».Для этого выполните следующие действия:

1. Щелкните Start , введите wf.msc в поле поиска программ и файлов , а затем щелкните wf.msc в разделе Programs.
2. Щелкните Правила для входящих подключений .
3. Найдите и выберите правило Failover Clusters (UDP-In) .
4. Отключить или удалить правило отказоустойчивых кластеров (UDP-In) .

Примечание

• При использовании этого метода служба кластеров может остановиться.Поэтому, если это возможно, следует остановить службу кластеров перед запуском этого метода, а затем перезапустить службу кластеров после выполнения других шагов.
• При использовании этого метода правило «Отказоустойчивые кластеры (входящий UDP)» также отключается.
• Служба кластеров обеспечивает обмен данными между узлами, устанавливая порт брандмауэра UDP при запуске.

Разрешение 3: отключить службу списка сетей

Чтобы отключить службу списка сетей, выполните следующие действия:

1. Щелкните Start , введите services в поле поиска программ и файлов , а затем нажмите Enter.
2. В столбце Name в разделе Services (Local) щелкните правой кнопкой мыши Network List Service , а затем щелкните Properties .
3. На вкладке Общие установите для поля Тип запуска значение Отключено .
4. Нажмите Применить > ОК .
5. Перезагрузите компьютер.

Примечание

Перед отключением службы списка сетей следует учитывать, что это действие вносит следующие изменения:

• По умолчанию брандмауэр Windows теперь выбирает общедоступный профиль.Следовательно, правила, установленные для доменного или частного профилей, должны быть добавлены в общедоступный профиль.
• Центр общего доступа к сети не отображает типы профилей или состояние сетевого подключения.
• Значок сетевого подключения больше не отображается на панели задач Windows.

Изменения, происходящие после отключения службы списка сетей, ограничиваются отображением сетевой информации. Они не влияют на поведение системы.

Статус

Microsoft подтвердила, что это известная проблема брандмауэра Windows.

Профиль TCP / UDP

Профиль TCP / UDP определяет тип и настройки сетевого протокола, который будет использовать подписывающаяся виртуальная служба. Он устанавливает ряд параметров, например, является ли виртуальная служба TCP-прокси или сквозной через быстрый путь. Виртуальная служба может иметь как TCP, так и UDP, что полезно для таких протоколов, как DNS или Syslog.

Avi Vantage перезапишет IP-адрес клиента перед отправкой любого TCP-соединения на сервер, независимо от того, какой тип профиля TCP используется виртуальной службой.Точно так же адрес назначения будет перезаписан с IP-адреса виртуальной службы на IP-адрес сервера. Сервер всегда будет видеть исходный IP-адрес Service Engine. Профили UDP имеют возможность отключить NAT источника Service Engine.

В режимах быстрого пути UDP и TCP соединения происходят напрямую между клиентом и сервером, даже если поле IP-адреса пакета было изменено.

Для приложений HTTP Avi Vantage может вставить исходный IP-адрес клиента через XFF в заголовок HTTP, отправляемый на сервер.

Этот раздел содержит следующие подразделы.

Настройки профилей TCP / UDP

Выберите «Шаблоны»> «Профили»> «TCP / UDP», чтобы открыть вкладку «Профили TCP / UDP». Эта вкладка включает в себя следующие функции:

• Поиск: Поиск по списку объектов.
• Создать: Открывает всплывающее окно «Новый профиль TCP / UDP».
• Изменить: Открывает всплывающее окно «Изменить профиль TCP / UDP».
• Удалить: Профиль TCP / UDP можно удалить, только если он в настоящее время не назначен виртуальной службе.В сообщении об ошибке будет указано, что виртуальная служба ссылается на профиль. Системные профили по умолчанию не могут быть удалены.

Таблица на этой вкладке предоставляет следующую информацию для каждого профиля TCP / UDP:

• Имя: Имя профиля.
• Тип: Тип профиля TCP / UDP, который может быть одним из следующих:
  • TCP-прокси: Этот профиль завершает клиентские подключения к виртуальной службе, а затем открывает новое TCP-подключение к целевому серверу.Каждое соединение будет согласовывать оптимальные настройки TCP для подключаемого устройства. Например, клиент может подключиться с MTU размером 1400 байт, в то время как сервер по-прежнему может отправлять данные в Avi Vantage в формате MTU размером 1500 байтов. В этом случае Avi Vantage буферизует ответы сервера и отправляет их клиенту отдельно. Если клиентское соединение отбрасывает пакет, Avi Vantage обработает повторную передачу, поскольку сервер, возможно, уже завершил передачу и перешел к обработке следующего клиентского запроса.См. TCP Proxy.
  • TCP Fast Path: После получения TCP SYN от клиента Avi Vantage принимает решение о балансировке нагрузки и пересылает SYN и все последующие пакеты непосредственно на сервер. Исходный IP-адрес клиента по-прежнему будет преобразован в IP-адрес Service Engine для сети сервера, чтобы обеспечить маршрутизацию обратного пути. Обмен данными между клиентом и сервером осуществляется через одно TCP-соединение с использованием параметров, согласованных между клиентом и сервером. См. TCP Fast Path.
  • UDP Fast Path: UDP не требует установления соединения, что означает, что пакеты напрямую пересылаются на сервер с балансировкой нагрузки. Решение о балансировке нагрузки принимается на первом пакете от клиента, а исходный IP-адрес по-прежнему изменяется на IP-адрес Service Engine. См. Раздел «Быстрый путь UDP».
  • UDP-прокси: Этот профиль поддерживает разные потоки для внешней и внутренней передачи, одновременно преобразуя поток между ними. Например, поток от клиента к виртуальной службе преобразуется в поток от виртуальной службы к внутреннему серверу путем сохранения информации о состоянии потока.Входящий порт назначения от клиента должен быть настроен для виртуальной службы. Исходящий порт назначения к внутреннему серверу определяется конфигурацией пула виртуальной службы. Исходные порты во внутреннем потоке недолговечны .
• Автообучение: В режиме автообучения по умолчанию профиль TCP / UDP будет динамически корректировать настройки в зависимости от типа приложения, назначенного виртуальной службе. При отключении автоматического обучения используются параметры, статически определенные в профиле.

Создать профиль TCP / UDP

Для создания или редактирования профиля TCP / UDP:

1. Имя: Введите уникальное имя для профиля.

2. Тип: Выберите тип профиля TCP / UDP: прокси UDP, быстрый путь TCP, прокси TCP, быстрый путь UDP.

3. Нажмите «Сохранить», чтобы сохранить изменения и вернуться на вкладку «Профили TCP / UDP».

TCP-прокси

Включение TCP-прокси заставляет Avi Vantage разрывать входящее соединение от клиента.Любые данные приложения от клиента, предназначенные для сервера, пересылаются на этот сервер по новому TCP-соединению. Разделение (или проксирование) соединений между клиентом и сервером позволяет Avi Vantage обеспечивать повышенную безопасность, такую ​​как очистка протокола TCP или смягчение последствий DoS. Это также обеспечивает лучшую производительность клиента и сервера, такую ​​как максимальное увеличение размеров TCP MSS или окна TCP клиента и сервера независимо и буферизация ответов сервера. Вы должны использовать профиль TCP / UDP с типом Прокси для профилей приложений, таких как HTTP.

Выберите TCP Proxy во всплывающем окне Create / Edit TCP / UDP Profile и выберите Auto Learn или Custom. С помощью Auto Learn Avi Vantage будет динамически настраивать следующие параметры в зависимости от приложения виртуального сервера, которому он назначен. Этот параметр выбран по умолчанию и является самым простым способом обеспечить оптимальную производительность. Выберите Custom, чтобы вручную настроить следующие параметры:

• Тайм-аут: Управляет поведением незанятых соединений следующим образом:
  • Do TCP keepalive: Посылает клиенту периодический сигнал проверки активности, который будет поддерживать текущее соединение открытым.
  • Срок действия простаивающих подключений: Завершить незанятые подключения, которые не имеют сигнала подтверждения активности от клиента, как указано в поле «Длительность».
  • Длительность простоя: Время простоя в секундах до того, как Avi Vantage сможет упреждающе закрыть TCP-соединение. Таймер сбрасывается при отправке или получении любого пакета. Установка этого значения выше может быть подходящей для долгоживущих соединений, которые не используют пакеты поддержки активности; однако более высокие настройки могут также повысить уязвимость Avi Vantage для атак типа «отказ в обслуживании», поскольку система не будет заранее закрывать незанятые соединения.Вы можете указать диапазон 60-1800 секунд или 0 для бесконечного тайм-аута.
  • Ignore Time Wait: Когда соединение между Service Engine и клиентом или Service Engine и сервером закрыто, уникальный IP-адрес клиента или сервера: Port + Service Engine IP: Port (называемый 4-кортежем) помещен в состояние TIME_WAIT в течение определенного периода времени. Этот 4-кортеж нельзя использовать повторно, пока не станет ясно, что в сети больше нет задержанных пакетов, которые все еще находятся в пути или которые еще не были доставлены.Значение Time Wait определяет период тайм-аута до того, как этот кортеж из четырех элементов может быть повторно использован. Это может быть либо значение от 500 до 2000 (по умолчанию) мс, либо включение флажка Ignore Time Wait, чтобы Avi Vantage мог немедленно повторно открыть соединение из 4 кортежей, если он получает пакет SYN от удаленного IP, который соответствует тем же самым 4 кортежам. .
• Поведение при повторной передаче:
  • Максимальное количество повторных передач: Максимальное количество попыток (3–8) повторной передачи пакетов перед разрывом и закрытием соединения.
  • Макс. Количество повторных передач SYN: Максимальное количество попыток (3-8) повторной передачи пакета SYN перед отказом.
• Управление буфером:
  • Окно приема: Окно приема информирует отправителя, сколько данных Avi Vantage может буферизовать (2 КБ — 64 МБ) перед отправкой подтверждения TCP.
  • Максимальный размер сегмента (MSS): Его можно рассчитать, используя длину максимального блока передачи (MTU) для сетевого интерфейса.MSS определяет наибольший размер данных, которые могут быть безопасно вставлены в пакет TCP. В некоторых средах MSS должен быть меньше MTU. Например, для трафика между Avi Vantage и клиентом, который проходит через VPN типа «сеть-сеть», может потребоваться некоторое пространство, зарезервированное для заполнения данными шифрования. Выберите либо:
    • Использовать интерфейс MTU: Устанавливает MSS равным размеру MTU сетевого интерфейса.
    • Пользовательское значение: Может быть в диапазоне 512–9000 килобайт.
• QOS и управление трафиком:
  • IP DSCP: Позволяет Avi Vantage либо передать существующий параметр точки кода дифференцированных услуг (DSCP), либо указать пользовательский номер. DSCP — это 8-битное поле в заголовке TCP, которое можно использовать для классификации трафика аналогично устаревшему полю TCP TOS.
  • Nagles Algorithm: Пытается уменьшить задержку путем объединения небольших пакетов в меньшее количество более крупных пакетов перед отправкой.Это снижает влияние задержки в сети за счет уменьшения количества циклов приема-передачи, требуемого из-за подтверждений TCP. Этот параметр может отрицательно повлиять на протоколы реального времени, особенно SSH и Telnet. Например, при вводе в сеансе telnet многие не отображают никакого текста, пока пользователь не наберет 1500 символов (достаточно для заполнения типичного пакета) или пока не пройдет достаточно времени, и пакет будет отправлен наполовину.

Быстрый путь TCP

Профиль быстрого пути TCP не использует прокси-соединения TCP; скорее, он напрямую соединяет клиентов с целевым сервером и преобразует целевой виртуальный сервисный адрес клиента в IP-адрес выбранного целевого сервера.Исходный IP-адрес клиента по-прежнему преобразуется в адрес Service Engine, чтобы обеспечить симметричный возврат трафика ответа сервера.

В этом режиме между клиентом и сервером происходит согласование сети, такое как окна MSS или TCP. Быстрый путь TCP снижает нагрузку на ЦП для Avi Vantage, чем режим прокси TCP; однако это также приводит к увеличению нагрузки на сеть и задержек как для клиента, так и для сервера. Кроме того, виртуальная служба, использующая быстрый путь TCP, может не использовать профили прикладного уровня, такие как HTTP.

Этот тип профиля имеет следующие настройки:

• Включить защиту SYN: Когда отключено, Avi Vantage выполняет балансировку нагрузки на основе исходного пакета SYN клиента. SYN пересылается на сервер, а Avi Vantage просто пересылает пакеты между клиентом и сервером, что делает серверы уязвимыми для атак SYN-флуда с поддельных IP-адресов. Если этот параметр включен, Avi Vantage будет проксировать начальное трехстороннее рукопожатие TCP с клиентом, чтобы проверить, не является ли клиент поддельным IP-адресом источника.Как только трехстороннее рукопожатие будет установлено, Avi Vantage повторно воспроизведет рукопожатие на стороне сервера. После соединения клиента и сервера Avi Vantage вернется в режим прохода (быстрый путь). Этот процесс иногда называют отложенным связыванием. > Примечание. Рассмотрите возможность использования режима TCP Proxy для максимальной безопасности TCP.

• Тайм-аут простоя сеанса: Неактивные потоки завершатся (тайм-аут) по истечении указанного периода времени. Avi Vantage выполнит сброс TCP как для клиента, так и для сервера.

Быстрый путь UDP

Профиль быстрого пути UDP позволяет виртуальной службе поддерживать UDP. Avi Vantage преобразует целевой виртуальный сервисный адрес клиента на целевой сервер и перезапишет исходный IP-адрес клиента на адрес Service Engine при пересылке пакета на сервер. Это гарантирует, что трафик ответа сервера симметрично проходит через исходный SE.

Этот тип профиля использует следующие настройки:

• IP-адрес клиента NAT: По умолчанию Avi Vantage преобразует исходный IP-адрес клиента в IP-адрес Avi Service Engine.Это может быть отключено для протоколов без установления соединения, которые не требуют, чтобы трафик ответа сервера проходил обратно через тот же Service Engine. Например, сервер системного журнала будет молча принимать пакеты, не отвечая. Следовательно, нет необходимости обеспечивать маршрутизацию ответных пакетов через один и тот же SE. Когда SNAT отключен, рекомендуется установить более низкое значение тайм-аута простоя сеанса.
• Балансировка нагрузки на каждый пакет: По умолчанию Avi Vantage обрабатывает поток пакетов UDP с одного и того же клиентского IP: порта как сеанс, принимая одно решение о балансировке нагрузки и отправляя последующие пакеты на тот же сервер назначения.Для некоторых протоколов приложений каждый пакет следует рассматривать как отдельный сеанс, который может быть однозначно сбалансирован нагрузкой на другой сервер. DNS является одним из примеров, когда включение балансировки нагрузки на каждый пакет заставляет Avi Vantage обрабатывать каждый пакет как отдельный сеанс или запрос.
• Тайм-аут простоя сеанса: Пустые потоки UDP завершатся (тайм-аут) по истечении указанного периода времени. Последующие пакеты UDP могут быть сбалансированы по нагрузке на новый сервер, если не применяется профиль постоянства.Тайм-аут настраивается в диапазоне от 2 до 3600 секунд.
  Это значение тайм-аута должно быть больше тайм-аута транзакции. Убедитесь, что значение не слишком велико, так как это может привести к исчерпанию ресурсов порта в случае эфемерных портов. Независимо от полезной нагрузки, любая передача в потоке сбрасывает этот таймер. Даже фрагментированного пакета или дейтаграммы UDP в конкретном потоке достаточно для сброса тайм-аута для конкретного потока.

UDP-прокси

Профиль прокси UDP в настоящее время поддерживается только для приложений SIP.Этот профиль поддерживает различный поток как для внешней, так и для внутренней передачи.

Глава 44. Использование и настройка firewalld Red Hat Enterprise Linux 8

Межсетевой экран — это способ защитить машины от любого нежелательного трафика извне. Он позволяет пользователям контролировать входящий сетевой трафик на хост-машинах, задав набор правил брандмауэра . Эти правила используются для сортировки входящего трафика и либо блокируют его, либо пропускают.

firewalld — это сервисный демон межсетевого экрана, который предоставляет динамически настраиваемый межсетевой экран на базе хоста с интерфейсом D-Bus. Будучи динамическим, он позволяет создавать, изменять и удалять правила без необходимости перезапуска демона брандмауэра при каждом изменении правил.

firewalld использует концепции зон и сервисов, которые упрощают управление трафиком. Зоны — это предопределенные наборы правил. Сетевые интерфейсы и источники могут быть назначены зоне.Разрешенный трафик зависит от сети, к которой подключен ваш компьютер, и уровня безопасности, назначенного этой сети. Службы брандмауэра — это предопределенные правила, которые охватывают все необходимые настройки, позволяющие разрешить входящий трафик для определенной службы, и применяются в пределах зоны.

Службы используют один или несколько портов или адресов для сетевой связи. Межсетевые экраны фильтруют обмен данными по портам. Чтобы разрешить сетевой трафик для службы, ее порты должны быть открыты. firewalld блокирует весь трафик на портах, которые явно не настроены как открытые.Некоторые зоны, например доверенные, по умолчанию разрешают весь трафик.

Обратите внимание, что firewalld с бэкэндом nftables не поддерживает передачу пользовательских правил nftables в firewalld с использованием параметра --direct .

44,1. Начало работы с

44.1.1. Когда использовать firewalld, nftables или iptables

Ниже приводится краткий обзор того, в каком сценарии следует использовать одну из следующих утилит:

• firewalld : используйте утилиту firewalld для простых случаев использования брандмауэра.Утилита проста в использовании и охватывает типичные варианты использования для этих сценариев.
• nftables : используйте утилиту nftables для настройки сложных и критичных к производительности межсетевых экранов, например, для всей сети.
• iptables : утилита iptables в Red Hat Enterprise Linux 8 использует API ядра nf_tables вместо устаревшей серверной части . API nf_tables обеспечивает обратную совместимость, поэтому сценарии, использующие команды iptables , по-прежнему работают в Red Hat Enterprise Linux 8.Для новых сценариев межсетевого экрана Red Hat рекомендует использовать nftables .

Чтобы различные службы межсетевого экрана не влияли друг на друга, запустите только одну из них на хосте RHEL и отключите другие службы.

⁠ firewalld можно использовать для разделения сетей на разные зоны в соответствии с уровнем доверия, который пользователь решил наложить на интерфейсы и трафик в этой сети. Соединение может быть только частью одной зоны, но зона может использоваться для многих сетевых соединений.

NetworkManager уведомляет firewalld о зоне интерфейса. Вы можете назначить зоны интерфейсам с помощью:

• NetworkManager
• firewall-config инструмент
• firewall-cmd инструмент командной строки
• Веб-консоль RHEL

Последние три могут редактировать только соответствующие файлы конфигурации NetworkManager .Если вы измените зону интерфейса с помощью веб-консоли, firewall-cmd или firewall-config , запрос перенаправляется на NetworkManager и не обрабатывается ⁠ firewalld .

Предопределенные зоны хранятся в каталоге / usr / lib / firewalld / zone / и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог / etc / firewalld / zone / только после того, как они были изменены.Стандартные настройки предопределенных зон следующие:

блок

Любые входящие сетевые подключения отклоняются сообщением icmp-host -hibited для IPv4 и icmp6-adm -hibited для IPv6 . Возможны только сетевые соединения, инициированные изнутри системы.

дмз

Для компьютеров в вашей демилитаризованной зоне, которые общедоступны с ограниченным доступом к вашей внутренней сети.Принимаются только выбранные входящие соединения.

падение

Все входящие сетевые пакеты отбрасываются без какого-либо уведомления. Возможны только исходящие сетевые подключения.

внешний

Для использования во внешних сетях с включенной маскировкой, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, что они не нанесут вред вашему компьютеру. Принимаются только выбранные входящие соединения.

дом

Для использования дома, когда вы больше всего доверяете другим компьютерам в сети.Принимаются только выбранные входящие соединения.

внутренний

Для использования во внутренних сетях, когда вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

общедоступный

Для использования в общественных местах, где вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

доверенные

Принимаются все сетевые подключения.

работа

Для использования на работе, где вы больше всего доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.

Одна из этих зон установлена ​​как зона по умолчанию . Когда интерфейсные соединения добавляются в NetworkManager , они назначаются зоне по умолчанию. При установке зона по умолчанию в firewalld устанавливается как общедоступная зона . Зону по умолчанию можно изменить.

Имена сетевых зон должны быть понятными и позволять пользователям быстро принять разумное решение. Чтобы избежать проблем с безопасностью, проверьте конфигурацию зоны по умолчанию и отключите все ненужные службы в соответствии с вашими потребностями и оценками рисков.

Дополнительные ресурсы

• Справочная страница firewalld.zone (5) .

44.1.3. Предопределенные услуги

Служба может быть списком локальных портов, протоколов, исходных портов и мест назначения, а также списком вспомогательных модулей брандмауэра, автоматически загружаемых, если служба включена.Использование сервисов экономит время пользователей, поскольку они могут выполнять несколько задач, таких как открытие портов, определение протоколов, включение пересылки пакетов и многое другое, за один шаг, вместо того, чтобы настраивать все одно за другим.

Параметры конфигурации службы и общая информация о файлах описаны на справочной странице firewalld.service (5) . Услуги указываются с помощью отдельных файлов конфигурации XML, которые имеют имена в следующем формате: имя-службы .xml . Имена протоколов предпочтительнее имен служб или приложений в firewalld .

Службы можно добавлять и удалять с помощью графического инструмента firewall-config , firewall-cmd и firewall-offline-cmd .

Кроме того, вы можете редактировать файлы XML в каталоге / etc / firewalld / services / . Если услуга не добавляется или не изменяется пользователем, то соответствующий файл XML не найден в / etc / firewalld / services / .Файлы в каталоге / usr / lib / firewalld / services / можно использовать в качестве шаблонов, если вы хотите добавить или изменить службу.

Дополнительные ресурсы

• Справочная страница firewalld.service (5)

44,2. Просмотр текущего состояния и настроек

44.2.1. Просмотр текущего статуса

Служба межсетевого экрана firewalld установлена ​​в системе по умолчанию.Используйте интерфейс firewalld CLI, чтобы проверить, что служба запущена.

Процедура

1. Чтобы увидеть статус услуги:

    # firewall-cmd --state 

2. Для получения дополнительной информации о состоянии службы используйте подкоманду systemctl status :

    # systemctl status firewalld
   firewalld.service - firewalld - динамический демон межсетевого экрана
      Загружено: загружено (/ usr / lib / systemd / system / firewalld.услуга; включено; продавец PR
      Активен: активен (работает) с понедельника 18 декабря 2017 г. 16:05:15 CET; 50мин назад
        Документы: человек: firewalld (1)
    Основной PID: 705 (firewalld)
       Задач: 2 (лимит: 4915)
      CGroup: /system.slice/firewalld.service
              └─705 / usr / bin / python3 -Es / usr / sbin / firewalld --nofork --nopid 

Дополнительные ресурсы

Прежде чем пытаться изменить настройки, важно знать, как настроен firewalld и какие правила действуют.Чтобы отобразить настройки брандмауэра, используйте команду firewall-cmd --list-all в качестве пользователя root .

44.2.2. Просмотр разрешенных сервисов с помощью графического интерфейса

Чтобы просмотреть список служб с помощью графического инструмента firewall-config , нажмите клавишу Super , чтобы войти в Обзор действий, введите firewall и нажмите Введите . Появится инструмент firewall-config . Теперь вы можете просмотреть список услуг на вкладке Services .

Вы можете запустить графический инструмент настройки брандмауэра из командной строки.

Откроется окно Конфигурация брандмауэра . Обратите внимание, что эту команду можно запустить от имени обычного пользователя, но иногда вам предлагается ввести пароль администратора.

44.2.3. Просмотр настроек firewalld с помощью интерфейса командной строки

С помощью клиента CLI можно получить различные представления текущих настроек брандмауэра. Параметр --list-all показывает полный обзор настроек firewalld .

firewalld использует зоны для управления трафиком. Если зона не указана параметром --zone , команда действует в зоне по умолчанию, назначенной активному сетевому интерфейсу и соединению.

Процедура

• Чтобы перечислить всю необходимую информацию для зоны по умолчанию:

   #  firewall-cmd --list-all 
  общественный
    цель: по умолчанию
    icmp-block-инверсия: нет
    интерфейсы:
    источники:
    услуги: ssh dhcpv6-client
    порты:
    протоколы:
    маскарад: нет
    форвард-порты:
    исходные порты:
    icmp-блоки:
    богатые правила: 

• Чтобы указать зону, для которой будут отображаться параметры, добавьте аргумент --zone = имя-зоны в команду firewall-cmd --list-all , например:

   #  firewall-cmd --list-all --zone = home 
  дом
    цель: по умолчанию
    icmp-block-инверсия: нет
    интерфейсы:
    источники:
    услуги: ssh mdns samba-client dhcpv6-client
  ... [обрезано для ясности] 

• Чтобы просмотреть настройки для конкретной информации, такой как службы или порты, используйте конкретную опцию. См. Страницы руководства firewalld или получите список параметров с помощью команды help:

   #  firewall-cmd --help  

• Чтобы узнать, какие службы разрешены в текущей зоне:

   #  firewall-cmd --list-services 
  ssh dhcpv6-клиент 

Перечисление настроек для определенной части с помощью инструмента CLI иногда может быть трудно интерпретировать.Например, вы разрешаете службу SSH , а firewalld открывает необходимый порт (22) для службы. Позже, если вы перечисляете разрешенные службы, в списке отображается служба SSH , но если вы перечисляете открытые порты, они не отображаются. Поэтому рекомендуется использовать параметр --list-all , чтобы убедиться, что вы получаете полную информацию.

44,3. Управление сетевым трафиком с помощью

 & lt;? Xml version = "1.0 "encoding =" utf-8 "? & Gt;
& lt; зона & gt;
  & lt; short & gt; Моя зона & lt; / short & gt;
  & lt; description & gt; Здесь вы можете описать характерные особенности зоны. & lt; / description & gt;
  & lt; service name = "ssh" / & gt;
  & lt; port port = "1025-65535" протокол = "tcp" / & gt;
  & lt; порт порт = "1025-65535" протокол = "UDP" / & gt;
& lt; / zone & gt; 

 # firewall-cmd --zone = external --remove-masquerade --permanent 

 ~] # firewall-cmd --get-ipset-types
hash: ip hash: ip, mark hash: ip, port hash: ip, port, ip hash: ip, port, net hash: mac hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net hash: net, iface hash: net, net hash: net, port hash: net hash: net hash: net hash: net, net hash: net, port hash:] сеть, порт, сеть 

• Чтобы вывести список IP-адресов, известных firewalld в постоянной среде, используйте следующую команду как root :

   # firewall-cmd --permanent --get-ipsets 

• Чтобы добавить новый набор IP-адресов, используйте следующую команду, используя постоянную среду как root :

   # firewall-cmd --permanent --new-ipset = test --type = hash: net
  успех 

  Предыдущая команда создает новый набор IP с именем test и типом hash: net для IPv4 .Чтобы создать набор IP-адресов для использования с IPv6 , добавьте параметр --option = family = inet6 . Чтобы новые настройки вступили в силу в среде выполнения, перезагрузите firewalld .

• Перечислите новый IP-адрес с помощью следующей команды как root :

   # firewall-cmd --permanent --get-ipsets
  тест 

• Чтобы получить дополнительную информацию о наборе IP, используйте следующую команду от имени root :

   # firewall-cmd --permanent --info-ipset = test
  контрольная работа
  тип: hash: net
  параметры:
  записей: 

  Обратите внимание, что в данный момент в наборе IP нет записей.

• Чтобы добавить запись в набор IP-адресов test , используйте следующую команду как root :

   # firewall-cmd --permanent --ipset =  test  --add-entry =  192.168.0.1 
  успех 

  Предыдущая команда добавляет IP-адрес 192.168.0.1 в набор IP.

• Чтобы получить список текущих записей в наборе IP, используйте следующую команду как root :

   # firewall-cmd --permanent --ipset = test --get-entries
  192.168.0.1 

• Создайте файл, содержащий список IP-адресов, например:

   # cat> iplist.txt << EOL
  192.168.0.2
  192.168.0.3
  192.168.1.0/24
  192.168.2.254
  EOL 

  Файл со списком IP-адресов для набора IP должен содержать запись в каждой строке. Строки, начинающиеся с решетки, точки с запятой или пустые строки, игнорируются.

• Чтобы добавить адреса из файла iplist.txt , используйте следующую команду как root :

   # firewall-cmd --permanent --ipset =  test  --add-entries-from-file =  iplist.txt 
  успех 

• Чтобы просмотреть расширенный список записей набора IP-адресов, используйте следующую команду от имени root :

   # firewall-cmd --permanent --ipset =  test  --get-entries
  192.168.0.1
  192.168.0.2
  192.168.0.3
  192.168.1.0/24
  192.168.2.254 

• Чтобы удалить адреса из набора IP и проверить обновленный список записей, используйте следующие команды как root :

   # firewall-cmd --permanent --ipset =  test  --remove-entries-from-file =  iplist.txt 
  успех
  # firewall-cmd --permanent --ipset = test --get-entries
  192.168.0.1 

• Вы можете добавить IP-адрес в качестве источника в зону для обработки всего трафика, поступающего с любого из адресов, перечисленных в IP-адресе, установленном с зоной. Например, чтобы добавить набор IP test в качестве источника в зону отбрасывания для отбрасывания всех пакетов, поступающих из всех записей, перечисленных в наборе IP test , используйте следующую команду в качестве root :

   # firewall-cmd --permanent --zone = drop --add-source = ipset: test
  успех 

  Префикс ipset: в источнике показывает firewalld , что источником является набор IP, а не IP-адрес или диапазон адресов.

Только создание и удаление наборов IP-адресов ограничено постоянной средой, все другие параметры набора IP-адресов могут использоваться также в среде выполнения без параметра --permanent .

Red Hat не рекомендует использовать наборы IP, которые не управляются через firewalld . Для использования таких наборов IP-адресов требуется постоянное прямое правило для ссылки на набор, а для создания этих наборов IP-адресов необходимо добавить настраиваемую службу. Эту службу необходимо запустить до запуска firewalld , в противном случае firewalld не сможет добавить прямые правила, используя эти наборы.Вы можете добавить постоянные прямые правила с помощью файла /etc/firewalld/direct.xml .

44.11. Приоритет расширенных правил

По умолчанию расширенные правила организованы в зависимости от их действия. Например, запретить правила имеют приоритет над разрешить правила. Параметр priority в расширенных правилах предоставляет администраторам детальный контроль над расширенными правилами и порядком их выполнения.

44.11.1. Как параметр приоритета организует правила в разные цепочки

Вы можете установить для параметра priority в расширенном правиле любое число от до 32768 до 32767 , а более низкие значения имеют более высокий приоритет.

Служба firewalld систематизирует правила на основе их значения приоритета в различные цепочки:

• Приоритет ниже 0: правило перенаправляется в цепочку с суффиксом _pre .
• Приоритет выше 0: правило перенаправляется в цепочку с суффиксом _post .
• Приоритет равен 0: в зависимости от действия правило перенаправляется в цепочку с _log , _deny или _allow действием.

Внутри этих субцепей firewalld сортирует правила на основе их значения приоритета.

44.11.2. Установка приоритета богатого правила

В процедуре описывается пример создания расширенного правила, использующего параметр с приоритетом для регистрации всего трафика, который не разрешен или запрещен другими правилами. Вы можете использовать это правило, чтобы пометить неожиданный трафик.

Процедура

1. Добавьте расширенное правило с очень низким приоритетом, чтобы регистрировать весь трафик, не соответствующий другим правилам:

    # firewall-cmd --add-rich-rule = 'приоритет правила = 32767 префикс журнала = "НЕОЖИДАНО:" предельное значение = "5 / м"' 

   Команда дополнительно ограничивает количество записей в журнале до 5 в минуту.

2. При желании отобразите правило nftables , созданное командой на предыдущем шаге:

    # цепочка списков nft inet firewalld filter_IN_public_post
   table inet firewalld {
     цепочка filter_IN_public_post {
       префикс журнала "НЕОЖИДАННЫЙ:" ограничение скорости 5 в минуту
     }
   } 

44.12. Настройка блокировки межсетевого экрана

Локальные приложения или службы могут изменять конфигурацию брандмауэра, если они работают как root (например, libvirt ).С помощью этой функции администратор может заблокировать конфигурацию брандмауэра, чтобы никакие приложения или только приложения, добавленные в список разрешенных блокировок, могли запрашивать изменения брандмауэра. По умолчанию настройки блокировки отключены. Если этот параметр включен, пользователь может быть уверен в отсутствии нежелательных изменений конфигурации брандмауэра локальными приложениями или службами.

44.12.1. Настройка блокировки с помощью CLI

Эта процедура описывает, как включить или отключить блокировку с помощью командной строки.

• Чтобы узнать, включена ли блокировка, используйте следующую команду от имени root :

   # firewall-cmd --query-lockdown 

  Команда выводит yes со статусом выхода 0 , если включена блокировка. Он печатает № со статусом выхода 1 в противном случае.

• Чтобы включить блокировку, введите следующую команду как root :

   # firewall-cmd --lockdown-on 

• Чтобы отключить блокировку, используйте следующую команду как root :

   # firewall-cmd --lockdown-off 

44.12.2. Настройка параметров списка разрешенных списков блокировки с помощью интерфейса командной строки

Список разрешений блокировки может содержать команды, контексты безопасности, пользователей и идентификаторы пользователей. Если запись команды в списке разрешений заканчивается звездочкой «*», то все командные строки, начинающиеся с этой команды, будут совпадать. Если «*» там нет, то абсолютная команда, включая аргументы, должна совпадать.

• Контекст - это контекст безопасности (SELinux) работающего приложения или службы. Чтобы получить контекст работающего приложения, используйте следующую команду:

   $  ps -e --context  

  Эта команда возвращает все запущенные приложения.Передайте вывод через инструмент grep , чтобы получить интересующее приложение. Например:

   $ ps -e --context | grep example_program 

• Чтобы вывести список всех командных строк, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-commands 

• Чтобы добавить команду команду в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

• Чтобы удалить команду command из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

• Чтобы узнать, находится ли команда команда в списке разрешений, введите следующую команду как root :

   # firewall-cmd --query-lockdown-whitelist-command = '/ usr / bin / python3 -Es / usr / bin / command' 

  Команда выводит yes со статусом выхода 0 , если true.Он печатает № со статусом выхода 1 в противном случае.

• Чтобы перечислить все контексты безопасности, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-context 

• Чтобы добавить контекст context в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-context = context 

• Чтобы удалить контекст context из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-context = context 

• Чтобы узнать, находится ли контекст context в списке разрешений, введите следующую команду как root :

   # firewall-cmd --query-lockdown-whitelist-context = контекст 

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

• Чтобы вывести список всех идентификаторов пользователей, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-uids 

• Чтобы добавить идентификатор пользователя uid в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-uid = uid 

• Чтобы удалить идентификатор пользователя uid из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-uid = uid 

• Чтобы узнать, находится ли идентификатор пользователя uid в списке разрешений, введите следующую команду:

   $  firewall-cmd --query-lockdown-whitelist-uid =  uid   

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

• Чтобы вывести все имена пользователей, которые находятся в списке разрешений, введите следующую команду как root :

   # firewall-cmd --list-lockdown-whitelist-users 

• Чтобы добавить имя пользователя user в список разрешений, введите следующую команду как root :

   # firewall-cmd --add-lockdown-whitelist-user = user 

• Чтобы удалить имя пользователя user из списка разрешений, введите следующую команду как root :

   # firewall-cmd --remove-lockdown-whitelist-user = user 

• Чтобы узнать, есть ли имя пользователя user в списке разрешений, введите следующую команду:

   $  firewall-cmd --query-lockdown-whitelist-user =  пользователь   

  Печатает да со статусом выхода 0 , если true, печатает нет со статусом выхода 1 в противном случае.

44.12.3. Настройка параметров списка разрешенных блокировок с помощью файлов конфигурации

Файл конфигурации списка разрешений по умолчанию содержит контекст NetworkManager и контекст по умолчанию libvirt . Идентификатор пользователя 0 также находится в списке.

 
<белый список>


<пользователь />
 

Ниже приведен пример файла конфигурации списка разрешений, включающего все команды для утилиты firewall-cmd для пользователя user с идентификатором 815 :

 
<белый список>


<пользователь />

 

В этом примере показаны как идентификатор пользователя , так и имя пользователя , но требуется только один параметр.Python является интерпретатором и добавляется в командную строку. Вы также можете использовать определенную команду, например:

  / usr / bin / python3 / bin / firewall-cmd --lockdown-on  

В этом примере разрешена только команда --lockdown-on .

В Red Hat Enterprise Linux все утилиты помещаются в каталог / usr / bin / , а каталог / bin / символьно связан с каталогом / usr / bin / .Другими словами, хотя путь для firewall-cmd при вводе как root может разрешиться в / bin / firewall-cmd , теперь можно использовать / usr / bin / firewall-cmd . Все новые скрипты должны использовать новое местоположение. Но имейте в виду, что если сценарии, которые запускаются как root , написаны для использования пути / bin / firewall-cmd , то этот путь команды должен быть добавлен в список разрешений в дополнение к / usr / bin / firewall-cmd Путь традиционно используется только для пользователей , не имеющих root-доступа.

* в конце атрибута имени команды означает, что все команды, начинающиеся с этой строки, совпадают. Если * там нет, то абсолютная команда, включая аргументы, должна совпадать.

44,13. Связанная информация

Следующие источники информации предоставляют дополнительные ресурсы относительно firewalld .

Установленная документация

• Справочная страница firewalld (1) - описывает параметры команды для firewalld .
• Справочная страница firewalld.conf (5) - содержит информацию для настройки firewalld .
• firewall-cmd (1) Страница руководства - описывает параметры команды для клиента командной строки firewalld .
• firewall-config (1) Справочная страница - описывает настройки инструмента firewall-config .
• firewall-offline-cmd (1) Страница руководства - описывает параметры команд для автономного клиента командной строки firewalld .
• firewalld.icmptype (5) Справочная страница - описывает файлы конфигурации XML для фильтрации ICMP .
• firewalld.ipset (5) Страница руководства - описывает файлы конфигурации XML для наборов firewalld IP .
• firewalld.service (5) Страница руководства - описывает файлы конфигурации XML для службы firewalld .
• Справочная страница firewalld.zone (5) - описывает файлы конфигурации XML для конфигурации зоны firewalld .
• Справочная страница firewalld.direct (5) - описывает файл конфигурации прямого интерфейса firewalld .
• firewalld.lockdown-whitelist (5) Страница руководства - описывает файл конфигурации firewalld lockdown allowlist.
• firewalld.richlanguage (5) справочная страница - описывает синтаксис правил firewalld для расширенного языка.
• firewalld.zones (5) Справочная страница - общее описание того, что такое зоны и как их настраивать.
• Справочная страница firewalld.dbus (5) - описывает интерфейс D-Bus для firewalld .

Онлайн-документация

IP-адресов и портов, используемых платформой Code42

Обзор

Сервер Code42, приложение Code42 и другие продукты в вашей среде Code42 используют определенные сетевые порты для нормальной работы. Если у вас есть проблемы с сетевым подключением с Code42 for Enterprise, убедитесь, что правила брандмауэра разрешают трафик через эти порты.

Рекомендации

Открывайте только необходимые порты
Рекомендуется настроить брандмауэры на открытие только тех портов, которые требуются вашему программному обеспечению.
Запретить входящий трафик на всех остальных портах.

Сетевые порты сервера Code42

В следующих таблицах перечислены порты сервера Code42 по умолчанию.

Входящие порты

В межсетевых экранах:

• Открыть порт 4287 для входящих запросов от приложений Code42.
• Откройте порт 4285 для входящих запросов от браузеров и приложений Code42 версии 6.5 и новее.
• Открывайте 4280 только в том редком случае, когда ваш сервер не использует безопасность TLS.

Исходящие порты

В межсетевых экранах:

• Откройте порты 25, 53, 123 и 443, чтобы серверы Code42 могли отправлять запросы на почту, DNS, NTP (сетевой протокол времени) и сервер лицензий Code42.
• Открывайте порт LDAP или RADIUS, только если вы используете одну из этих служб.
• Откройте порт 5432 только для сервера, использующего базу данных PostgreSQL.
  • Открыть 5432, если PostgreSQL находится на IP-адресе, отличном от адреса сервера,
  • Или откройте 5432, если PostgreSQL и ваш сервер используют один и тот же адрес, но в противном случае ваш брандмауэр блокирует соединения с localhost.

Порты развертывания на нескольких серверах

Если вы используете несколько серверов Code42, скорее всего, один сервер авторизации и один или несколько серверов хранения, то в брандмауэре, который защищает каждый сервер:

• Открывайте 4283 только в тех редких случаях, когда на ваших серверах не используется безопасность TLS.
• Откройте порт 4287 и 4288, как входящий, так и исходящий, для межсерверной связи с использованием безопасности TLS.
• (Версия 7.0 и более ранние) Открытый порт 4286, как входящий, так и исходящий, также для межсерверной связи.

Порты приложений Code42

У вас должен быть порт 443 или 4287, открытый для использования приложениями Code42.

В брандмауэрах, защищающих ваши устройства и локальные сети, в которых они находятся:

• Откройте 4287 для исходящих сообщений на ваш авторитетный сервер.
• Если вы используете облачное хранилище Code42, откройте порт 443 для исходящих сообщений на сервер хранилища.
• Откройте порт 4244, если ваш брандмауэр блокирует подключения от localhost к localhost, чтобы приложение Code42 и служба Code42 могли работать на одном устройстве. Если при установке приложения Code42 используется порт по умолчанию 4244, приложение использует другой доступный порт. См. Файл app.log.
• Чтобы включить дополнительную функцию веб-восстановления, откройте порт 4285 для исходящих сообщений из браузеров на серверы хранения, локально или в облаке Code42.

Порты мониторинга

Применяйте правила брандмауэра для мониторинга, только если вы используете мониторинг управляемого устройства Code42.

IP-адреса облачного хранилища Code42

Code42 использует следующие IP-адреса для предоставления доступа к облачному хранилищу Code42.Чтобы обеспечить непрерывный доступ к облаку Code42, откройте брандмауэр со следующими IP-адресами:

• 68.65.192.0/21
• 162.222.40.0/21
• 67.222.248.0/21
• 103.8.239.0/24
• 216.223.38.0/24
• 149.5.7.0/24
• 216.17.8.0/24
• 50.93.246.0/23
• 50.93.255.0 / 24

149.5.44.0/24 ранее использовалось, но теперь списано и больше не используется. Вам больше не нужно открывать брандмауэр для этого диапазона. Если вы ранее открывали свой брандмауэр для этого диапазона, мы настоятельно рекомендуем удалить его, потому что Code42 не будет управлять им после 1 января 2021 года.

• Эта информация может быть изменена, и мы рекомендуем вам подписаться на нашу страницу объявлений в сообществе Code42, чтобы узнавать о предстоящих изменениях IP-адресов.В таблице ниже приведена история изменений этой статьи.
• Чтобы обеспечить бесперебойное подключение к облаку Code42, вы должны открыть брандмауэр для всех доступных IP-адресов, перечисленных выше, до 11 августа 2020 г. Для получения дополнительной информации см. Обновления IP-адресов.

История изменений

В таблице ниже перечислены предыдущие обновления этой страницы. Чтобы узнать больше об обновлениях IP-адреса и сетевого порта, перейдите на https://success.code42.com/announcements.

Дополнительные настройки параметров в командной строке

Задайте интерфейс и порты для демонов OpenVPN

В пользовательском интерфейсе администратора в разделе «Сетевые настройки сервера» есть возможность установить конкретный интерфейс, который демоны OpenVPN должны прослушивать.Это программы, которые обрабатывают любые входящие туннельные соединения OpenVPN. Например, можно установить все , чтобы он просто прослушивал все доступные сетевые интерфейсы, и обычно это значение по умолчанию. Но в некоторых ситуациях желательно настроить демоны OpenVPN для прослушивания только определенного сетевого интерфейса. Вы также можете изменить порты, которые прослушивают демоны OpenVPN, здесь, но обычно мы рекомендуем не изменять их, если нет особых обстоятельств.

Обратите внимание, что демоны OpenVPN и веб-службы связаны между собой.По умолчанию OpenVPN Access Server настроен с демонами OpenVPN, которые прослушивают порт 1194 UDP, и демонами OpenVPN, которые прослушивают порт 443 TCP. Хотя лучшее соединение для туннеля OpenVPN - через порт UDP, мы реализуем TCP 443 в качестве альтернативного метода. Вероятно, что если вы находитесь в общедоступной сети, подключение к Интернету ограничено. Но TCP 443 - это порт, используемый для трафика HTTPS, и многие веб-сайты используют HTTPS по умолчанию. Таким образом, имея демон OpenVPN TCP на порту TCP 443, есть вероятность, что даже в такой ограниченной сети ваша клиентская программа OpenVPN сможет подключиться к серверу доступа OpenVPN, используя резервный TCP.Это не гарантия, поскольку некоторые брандмауэры довольно сложны и могут видеть разницу между веб-браузером и клиентской программой OpenVPN, но они работают на большинстве простых брандмауэров.

Как уже упоминалось, TCP 443 также используется для трафика HTTPS, который также использует веб-интерфейс OpenVPN Access Server. У вас не может быть двух разных процессов, прослушивающих один и тот же порт на одном сервере, поэтому мы используем то, что мы называем переадресацией служб или совместным использованием портов. Когда вы открываете веб-интерфейс сервера доступа на его TCP-порту 443 по умолчанию, TCP-демон OpenVPN видит этот запрос и распознает, что это запрос браузера.Затем он внутренне перенаправляет трафик к веб-службам, которые фактически работают на порту TCP 943. Когда вы меняете интерфейс, который слушают демоны OpenVPN, вы можете непреднамеренно отказывать себе в доступе с помощью этого метода переадресации портов. Тогда решение состоит в том, чтобы использовать порт, на котором фактически работают веб-службы; TCP 943. Для доступа к веб-интерфейсу через этот порт введите: 943 в URL-адрес, например: https://your.vpnserver.com:943/

Предупреждение: изменение этих значений может означать, что вам придется переустановить клиентов, чтобы снова установить соединение, поскольку эти параметры не обновляются автоматически на клиентах.

Чтобы установить имя интерфейса, который демоны OpenVPN должны прослушивать:

 ./sacli --key "vpn.daemon.0.server.ip_address" --value  ConfigPut
./sacli --key "vpn.daemon.0.listen.ip_address" --value  ConfigPut
./sacli start 

Чтобы установить определенный порт для демонов UDP OpenVPN:

 ./sacli --key "vpn.server.daemon.udp.port" --value  ConfigPut
./sacli start 

Чтобы установить определенный порт для демонов TCP OpenVPN:

./ sacli --key "vpn.server.daemon.tcp.port" --value  ConfigPut
./sacli start 

Чтобы восстановить значение по умолчанию, чтобы он прослушивал все интерфейсы и порты TCP 443 и UDP 1194:

 ./sacli --key "vpn.daemon.0.server.ip_address" --value "all" ConfigPut
./sacli --key "vpn.daemon.0.listen.ip_address" --value "все" ConfigPut
./sacli --key "vpn.server.daemon.udp.port" --value "1194" ConfigPut
./sacli --key "vpn.server.daemon.tcp.port" --value "443" ConfigPut
./sacli start 

Кроме того, невозможно, чтобы демоны OpenVPN UDP и TCP-демоны OpenVPN прослушивали два разных интерфейса, они должны прослушивать один и тот же интерфейс.Если вы действительно хотите изменить это, вы можете использовать iptables для перенаправления трафика на определенный порт и внутреннего интерфейса на правильный порт и интерфейс.

Отключить режим нескольких демонов и использовать только TCP или UDP

Поскольку кодовая база OpenVPN 2 является однопоточной, что означает, что процесс OpenVPN может выполняться только на одном ядре ЦП и не знает, как использовать многоядерные системы, сервер доступа OpenVPN имеет возможность запускать несколько Демоны OpenVPN одновременно.В идеале для каждого ядра процессора должен быть один демон OpenVPN. Но это еще не все. Чтобы клиенты OpenVPN могли устанавливать соединение по протоколу UDP и по протоколу TCP, необходимы дополнительные демоны OpenVPN. В случае OpenVPN Access Server это означает, что мы запускаем 1 демон TCP и 1 UDP на каждое ядро ​​процессора. В системе с 4 ядрами ЦП это означает, что всего работает 8 демонов, по 2 на ядро ​​ЦП; 1 TCP и 1 UDP. Сервер доступа выполняет своего рода внутреннюю балансировку нагрузки.При подключении сервер доступа решает, какое ядро ​​ЦП и, следовательно, какой демон OpenVPN наименее загружен, и подключает вас к этому демону.

В некоторых редких случаях может быть желательно или необходимо отключить режим нескольких демонов и просто запустить один демон TCP или UDP OpenVPN и обрабатывать все входящие туннельные соединения OpenVPN через один-единственный демон OpenVPN. Это возможно, но имеет некоторые, возможно, отрицательные побочные эффекты. Во-первых, переадресация служб используется для отправки входящих запросов браузера на демоны TCP OpenVPN на порт TCP 443 и внутреннего перенаправления их на фактический порт веб-служб TCP 943 изнутри.Отключение демонов TCP OpenVPN и запуск только с одним демоном UDP означает, что обычный доступ к веб-службам теперь заблокирован, и вам нужно вручную ввести правильный номер порта в URL-адресе, например: https://vpn.yourserver.com: 943/. Еще один побочный эффект заключается в том, что в ограниченных сетях, где UDP-соединения заблокированы, но TCP 443 (порт HTTPS по умолчанию) все еще открыт, тогда при запуске только демона UDP OpenVPN вы не сможете установить соединение из такой ограничительной сети, тогда как с настройками по умолчанию это, вероятно, сработало бы.И если вы решите использовать только демонов TCP, то явление TCP Meltdown может отрицательно повлиять на ваше соединение. Короче говоря; лучше всего подходят значения по умолчанию, но при желании можно отключить режим нескольких демонов.

Чтобы отключить режим нескольких демонов и использовать только 1 демон TCP:

 ./sacli --key "vpn.server.daemon.enable" --value "false" ConfigPut
./sacli --key "vpn.daemon.0.listen.protocol" --value "tcp" ConfigPut
./sacli --key "vpn.server.port_share.enable" --value "true" ConfigPut
./ sacli start 

Чтобы отключить режим нескольких демонов и использовать только 1 демон UDP:

 ./sacli --key "vpn.server.daemon.enable" --value "false" ConfigPut
./sacli --key "vpn.daemon.0.listen.protocol" --value "udp" ConfigPut
./sacli --key "vpn.server.port_share.enable" --value "false" ConfigPut
./sacli start 

Сбросить режим нескольких демонов и количество демонов TCP / UDP

В приведенных ниже командах мы используем команду sacli GetNCores , чтобы получить количество ядер ЦП, обнаруженных в этой системе, а затем использовать это для настройки количества демонов TCP и количества демонов UDP, которые будут появляться при запуске сервера доступа.Символы вокруг команды ./sacli GetNCores в командах, показанных ниже, являются обратными кавычками, а не одинарными кавычками, и это существенно влияет на то, как выполняется команда. Мы рекомендуем копировать и вставлять команды, чтобы убедиться, что они выполняются правильно. Мы также сбрасываем настройки по умолчанию здесь, чтобы использовать режим нескольких демонов, в котором запускаются несколько демонов OpenVPN.

Восстановить значение по умолчанию для использования режима нескольких демонов с количеством процессов, равным количеству ядер ЦП (рекомендуется):

./ sacli --key "vpn.server.daemon.enable" --value "true" ConfigPut
./sacli --key "vpn.daemon.0.listen.protocol" --value "tcp" ConfigPut
./sacli --key "vpn.server.port_share.enable" --value "true" ConfigPut
./sacli --key "vpn.server.daemon.tcp.n_daemons" --value "` ./sacli GetNCores` "ConfigPut
./sacli --key "vpn.server.daemon.udp.n_daemons" --value "` ./sacli GetNCores` "ConfigPut
./sacli start 

Сброс веб-сервисов и демонов OpenVPN на значения по умолчанию

Помимо возможности отменить любые неправильные настройки, которые случайно заблокировали доступ к веб-службам, эти шаги также жизненно важны, когда вы восстановили резервную копию конфигурации OpenVPN Access Server из одной системы в другую, а имена интерфейсов, которые были на старом сервере, не совпадают с именами нового сервера.Если, например, на старом сервере он настроен на прослушивание только eth0, а на новом сервере есть только ens192, то у вас проблема, так как сервер доступа будет недоступен, и вы не сможете получить доступ к пользовательскому интерфейсу администратора, чтобы исправить эти настройки. . С помощью приведенных ниже команд эти настройки, относящиеся к именам интерфейсов, и тому подобное, сбрасываются на «все», что означает, что OpenVPN Access Server будет просто прослушивать все доступные интерфейсы и порты по умолчанию (TCP 443, TCP 943, UDP 1194).

Сброс веб-служб, перенаправления служб и демонов OpenVPN на порты по умолчанию и прослушивание всех интерфейсов:

./ sacli --key "admin_ui.https.ip_address" --value "all" ConfigPut
./sacli --key "admin_ui.https.port" --value "943" ConfigPut
./sacli --key "cs.https.ip_address" --value "all" ConfigPut
./sacli --key "cs.https.port" --value "943" ConfigPut
./sacli --key "vpn.server.port_share.enable" --value "true" ConfigPut
./sacli --key "vpn.server.port_share.service" --value "admin + client" ConfigPut
./sacli --key "vpn.daemon.0.server.ip_address" --value "все" ConfigPut
./sacli --key "vpn.daemon.0.listen.ip_address" --value "все" ConfigPut
./ sacli --key "vpn.server.daemon.udp.port" --value "1194" ConfigPut
./sacli --key "vpn.server.daemon.tcp.port" --value "443" ConfigPut
./sacli start 

Вместо «все» вы также можете указать IP-адрес для прослушивания, если вы хотите установить это вручную.

Интерфейс XML-RPC

Сервер доступа OpenVPN использует XML-RPC внутри между веб-службами и основным компонентом, а также между клиентом OpenVPN Connect для Windows и Macintosh и интерфейсом XML-RPC в веб-службах (URL-адрес / RPC2).На клиенте OpenVPN Connect он используется только ограниченно для проверки учетных данных, чтобы убедиться, что они действительны, и для получения профиля, заблокированного пользователем, для подключения, когда клиент Connect использует профиль, заблокированный сервером. Если параметр интерфейса XML-RPC изменен на полную поддержку, либо на странице Client Settings в пользовательском интерфейсе администратора, либо через командную строку с параметром конфигурации, показанным ниже, тогда сервером доступа можно будет полностью удаленно управлять с помощью XML- Вместо этого вызывает RPC.Аутентификация выполняется с помощью базовой аутентификации HTTP через безопасное соединение SSL. Для получения профиля, заблокированного пользователем, достаточно учетных данных обычного пользователя, но для других функций достаточно учетных данных пользователя-администратора.

Мы не предоставляем документацию или поддержку для интерфейса XML-RPC.

Однако мы можем предоставить вам инструменты для определения того, какие вызовы выполнять и как, и вы можете использовать эту информацию для использования или создания программ с поддержкой XML-RPC, которые могут удаленно управлять сервером доступа.

Для просмотра вызовов XML-RPC в командной строке с помощью функции sacli VPN Краткое описание функции :

 OPENVPN_AS_DEBUG_XML = 1 ./sacli VPNСводка 

Вы получите результат, который показывает XML-запрос и ответ. Эта система получения информации работает практически для каждой функции sacli. Кроме того, sacli контролирует практически все, что может делать сервер доступа.

Чтобы изменить поддержку функции XML-RPC:

 ./sacli --key "xmlrpc.relay_level" --value <НОМЕР> ConfigPut
./ sacli start 

Где <НОМЕР>:

• 0 - полностью отключить XML-RPC API через веб-службы, что приведет к разрыву соединений типа профиля с блокировкой сервера.
• 1 - ограниченное включение XML-RPC API через веб-службы, только для соединений типа профиля с блокировкой сервера (по умолчанию).
• 2 - полное включение XML-RPC API через веб-службы, позволяет полностью удаленно управлять функциями сервера доступа.

Ведение журнала вызовов API XML-RPC по умолчанию не включено, но может быть включено с помощью флага отладки XML-RPC.

Ограничить общее максимальное количество VPN-туннелей

По умолчанию сервер доступа позволяет использовать 2048 туннелей VPN на одной установке сервера доступа. Обычно этого достаточно, но при желании вы можете увеличить этот лимит. Обратите внимание, что если вы измените это значение, даже теплый перезапуск сервера доступа перезапустит демонов OpenVPN, что означает, что все ваши клиенты VPN будут отключены, и им нужно будет восстановить свое соединение, что должно произойти автоматически.

Изменить максимальное количество активных входящих VPN-туннелей:

./ sacli --key "vpn.server.max_clients" --value <НОМЕР> ConfigPut
./sacli start 

Где <ЧИСЛО> - максимальное количество подключенных VPN-туннелей. Этот конфигурационный ключ по умолчанию отсутствует на сервере доступа, и если он отсутствует, предполагается, что он равен 2048. Для него может быть установлено любое допустимое число по вашему выбору.

Расширенные настройки аварийного переключения UCARP / VRRP

Когда встроенный режим аварийного переключения сервера доступа настроен и используется, основной узел будет посылать контрольные сигналы в локальную сеть.Вторичный узел отслеживает эти контрольные сигналы и в случае сбоя берет на себя задачи отказавшего узла. Но если в одной сети активно несколько таких пар или если другие системы также используют UCARP / VRRP для автоматического переключения при отказе, то системе нужен способ различать сигналы. Это делается с помощью VHID, который представляет собой уникальный номер, встроенный в сигналы сердцебиения. Каждой паре аварийного переключения нужен собственный идентификатор. По умолчанию это число 94 в паре аварийного переключения сервера доступа. Чтобы установить другое число, отрегулируйте значение ucarp.vhid с помощью приведенной ниже команды, но имейте в виду, что вы должны внимательно следовать шагам, описанным ниже для обоих узлов, и что это приведет к необходимости перезапускать службу сервера доступа на каждом узле по очереди, вызывая в общей сложности 2 отработки отказа. События. Так что спланируйте это соответствующим образом.

На основном узле настройте VHID:

 ./sacli --key "ucarp.vhid" --value <НОМЕР> ConfigPut
перезапуск службы openvpnas 

Где <НОМЕР> - это число от 1 до 255.

Подождите целую минуту. Это необходимо для того, чтобы у первичного узла была возможность создать новый файл резервной копии конфигурации и передать его вторичному узлу. Теперь будет краткий момент, когда оба узла попытаются быть главным узлом, поскольку каждый больше не видит другого из-за несоответствия номера VHID.

Теперь перейдите на вторичный узел и перезапустите службу сервера доступа:

 сервис openvpnas перезапуск 

Первичный узел теперь должен правильно вернуться в оперативный режим, а вторичный узел снова должен быть в режиме ожидания.

Наконец, для опытных пользователей в процесс UCARP можно передавать дополнительные параметры. Это делается с помощью конфигурационного ключа ucarp.extra_parms . См. Приведенную ниже команду о том, как передать дополнительные параметры процессу UCARP, которым управляет сервер доступа. Обратите внимание, что изменение этого параметра приведет к аварийному переключению, и затем вам придется перезапустить службу сервера доступа на вторичном узле, а также убедиться, что он вернется к первичному узлу.

Определите дополнительные параметры для сервера доступа для передачи UCARP:

./ sacli --key "ucarp.extra_parms" --value <ПАРАМЕТРЫ> ConfigPut
перезапуск службы openvpnas 

Где <ПАРАМЕТРЫ> - строка текста, содержащая то, что вы хотите передать в UCARP.
Если, например, вы хотите переопределить стандартные сценарии, которые OpenVPN Access Server использует, когда узел становится активным или должен быть резервным узлом, вы можете сделать это, передав новые параметры –upscript и – downscript непосредственно в UCARP и указав вместо этого новые скрипты.Вы можете, например, скопировать исходные сценарии ucarp_standby и ucarp_active up / down в каталог / usr / local / openvpn_as / scripts / и отредактировать их в соответствии со своими потребностями. Конечно, можно редактировать сценарии напрямую, но это будет означать, что во время обновления или переустановки эти сценарии будут сброшены до стандартных. Использование описанного метода для создания ваших собственных копий сценариев повышения / понижения, которые вы можете настроить, является лучшим методом, если вы хотите настроить эти сценарии повышения / понижения.

Заменить скрипты вверх / вниз новыми скриптами (обязательно создайте их):

 ./sacli --key "ucarp.extra_parms" --value "--upscript / root / up --downscript / root / down" ConfigPut
перезапуск службы openvpnas 

И чтобы вернуться к сценариям по умолчанию:

 ./sacli --key "ucarp.extra_parms" ConfigDel
перезапуск службы openvpnas 

Глобальная настройка поведения NAT

Поскольку частные IP-адреса не могут маршрутизироваться в Интернете, когда клиенты VPN подключены к серверу доступа и получили инструкции для отправки трафика для общедоступных IP-адресов через сервер VPN, сервер доступа выберет сетевой интерфейс со шлюзом по умолчанию. на нем и NAT-трафик через него проходит.В некоторых случаях желательно отключить это поведение NAT, например, когда вы хотите реализовать систему брандмауэра, которая регистрирует частные IP-адреса VPN-клиентов по мере прохождения трафика от VPN-клиента через VPN-сервер, через брандмауэр, а затем выходит в Интернет. Затем поведение NAT может быть реализовано дальше в цепочке соединений, прежде чем оно перейдет в общедоступный Интернет. Это глобальный параметр, который применяется ко всему серверу для исходящего трафика через NAT. Можно отключить этот параметр или указать другой IP-адрес, который будет использоваться для исходящего NAT, или даже диапазон адресов, которые будут случайным образом выбираться для исходящих операций NAT.Невозможно привязать конкретный общедоступный IP-адрес для исходящих операций NAT к конкретному VPN-клиенту.

Отключить NAT для исходящего публичного трафика (по умолчанию включено):

 ./sacli --key "vpn.server.nat" --value "false" ConfigPut
./sacli start 

Повторно включить NAT (восстановить по умолчанию):

 ./sacli --key "vpn.server.nat" ConfigDel
./sacli start 

Укажите интерфейс / адрес для исходящего NAT:

 ./sacli --key "vpn.server.routing.snat_source.N "<АДРЕС- ИНТЕРФЕЙСА>
./sacli start 

Где N - число, начинающееся с 0 и логически увеличивающееся для нескольких определений.
И где ИНТЕРФЕЙС-АДРЕС - одно из следующих:

• интерфейс: адрес - источник трафика NAT с использованием IP-адреса с указанным именем интерфейса.
• interface: number - NAT источника с использованием IP-адреса псевдонима номера указанного имени интерфейса.
• interface: begin-range: end-range - Источник трафика NAT произвольно с использованием диапазона IP-адресов.

Рандомизация этой последней опции выполняется с использованием алгоритма Linux / Netfilter to-source. Конечно, требуется, чтобы интерфейсы и IP-адреса, которые вы собираетесь использовать, действительно были доступны и настроены в вашей системе и сами по себе работали должным образом. Примеры указания интерфейса и адреса для исходящего NAT приведены ниже.

Например, трафик NAT eth3 через 1.2.3.4:

 ./sacli --key "vpn.server.routing.snat_source.0" --value "eth3: 1.2.3.4" ConfigPut
./sacli start
 

или NAT для трафика eth0 через адрес eth0: 4:

 ./sacli --key "vpn.server.routing.snat_source.0" --value "eth0: 4" ConfigPut
./sacli start
 

или трафик NAT ens192 с использованием диапазона общедоступных IP-адресов от 76.49.27.18 до 76.49.27.22:

 ./sacli --key "vpn.server.routing.snat_source.0" --value "ens192: 76.49.27.18: 76.49.27.22" ConfigPut
./ sacli start 

Для нескольких интерфейсов можно указать несколько правил, например:

 ./sacli --key "vpn.server.routing.snat_source.0" --value "eth0: 76.49.27.18: 76.49.27.22" ConfigPut
./sacli --key "vpn.server.routing.snat_source.1" --value "eth2: 3" ConfigPut
./sacli start 

Сервер доступа интенсивно использует Linux iptables для включения функций NAT и обеспечения соблюдения правил контроля доступа на уровне VPN, однако он также пытается хорошо работать с другими приложениями, использующими iptables, поддерживая свои собственные цепочки и делая минимальные дополнения к стандартным цепочкам, например ВХОД, ВЫХОД и ВПЕРЕД.По умолчанию сервер доступа добавляется к стандартным цепочкам, и это остается по умолчанию. Предварительный просмотр означает, что он пытается занять первое место в существующем списке настроек iptables, чтобы гарантировать правильную работу сервера доступа. Однако, используя следующий ключ конфигурации, это поведение можно изменить на добавление, чтобы упростить разработку пользовательских правил, которые имеют приоритет над правилами, созданными сервером доступа.

Чтобы заставить сервер доступа добавлять правила после существующих (добавлять вместо добавления):

./ sacli --key "iptables.append" --value "True" ConfigPut
./sacli start 

Восстановить поведение по умолчанию:

 ./sacli --key "iptables.append" ConfigDel
./sacli start 

Также можно полностью отключить работу сервера доступа в отношении iptables. Однако это может привести к небезопасным ситуациям, поскольку может быть разрешен трафик, на который вы не давали разрешения, и тогда все может просто перестать работать так, как задумано. Отключение iptables означает, что вы убираете один из столпов, на которых основана функциональность сервера доступа, и тогда ожидается, что вы сами позаботитесь о необходимых действиях в iptables.Если вы этого не сделаете, сервер доступа, скорее всего, просто перестанет работать. Мы не рекомендуем отключать Сервер доступа, управляя настройками iptables. Но если вы должны по какой-либо причине, и у вас есть необходимые знания, чтобы все заработало, тогда такая возможность доступна. Сервер доступа управляет тремя отдельными элементами iptables, и все они включены по умолчанию, но при желании могут быть отключены:

• iptables.vpn.disable.filter
• iptables.vpn.disable.nat
• iptables.vpn.disable.mangle

Пример отключения одной из трех вышеперечисленных настроек:

 ./sacli --key "iptables.vpn.disable.filter" --value "True" ConfigPut
./sacli start 

Восстановление значения по умолчанию:

 ./sacli --key "iptables.vpn.disable.filter" ConfigDel
./sacli start 

Выбор уровня 3 (маршрутизация) или уровня 2 (мостовое соединение)

Прежде чем мы объясним эту настройку далее, мы хотим прояснить, что режим VPN уровня 2 или мостовое соединение не является рекомендуемым методом использования OpenVPN Access Server, и вы можете столкнуться с проблемами, связанными с подделкой MAC-адреса или беспорядочным режимом, который - это настройки оборудования и программного обеспечения, связанные с безопасностью, которые, возможно, потребуется настроить или включить, чтобы это вообще работало.Мы также хотим предупредить вас, что использование режима моста отключает большую часть функций сервера доступа, потому что он просто больше не применяется. В режиме уровня 3 (рекомендуемый режим) сервер доступа функционирует как маршрутизатор со встроенными функциями брандмауэра, чтобы гарантировать, что трафик не может попасть туда, куда он не должен идти. Но на уровне 2 вы, по сути, превращаете сервер доступа в программный сетевой коммутатор с шифрованием, где все подключенные VPN-клиенты могут свободно обмениваться данными друг с другом и с сетью, к которой подключен сервер доступа.Здесь нет контроля над тем, какой трафик может идти куда, и сервер доступа также не играет роли в назначении IP-адресов или определенных правил доступа для клиентов VPN. Другими словами, если вы не знаете, что делаете, не используйте этот режим и придерживайтесь режима маршрутизации уровня 3 по умолчанию, пожалуйста.

Чтобы узнать, что означают уровни 3 и 2, см. Наше краткое объяснение того, что такое модель уровня OSI.

Параметр конфигурации vpn.general.osi_layer управляет поведением сервера доступа.Он может работать на уровне 2 в режиме моста и на уровне 3 в режиме маршрутизации (по умолчанию). Раньше в версиях Access Server, предшествующих версии 2.5, можно было установить эту опцию в пользовательском интерфейсе администратора, но с тех пор мы скрыли эту опцию, чтобы люди случайно не попробовали ее, поскольку это очень продвинутая функция и может привести к тому, что продукт больше не будет работать, если вы не знаете, что делаете. Но параметр для режима моста 2-го уровня все еще может быть включен.

Переключиться в режим моста 2-го уровня:

./ sacli --key "vpn.general.osi_layer" --value "2" ConfigPut
./sacli start 

Восстановить режим маршрутизации уровня 3:

 ./sacli --key "vpn.general.osi_layer" ConfigDel
./sacli start 

Если у вас был установлен сервер доступа, который уже работает в режиме моста уровня 2, и вы только что обновили свой сервер доступа до последней версии, этот параметр останется неизменным, и ваш сервер продолжит работу в режиме моста уровня 2. Таким образом, обновление не нарушит эту функциональность.

Если все ваши VPN-клиенты уже установлены и работают в режиме маршрутизации 3-го уровня, и теперь вы переключаете свой сервер в режим моста 2-го уровня, любые VPN-клиенты, у которых есть сохраненная копия профилей подключения, заблокированных пользователем или с автоматическим входом, им потребуется получить новую копию профиля подключения, прежде чем они смогут снова успешно подключиться. Наиболее частые проблемы, с которыми мы сталкиваемся на уровне 2, заключаются в том, что клиенту VPN не назначается IP-адрес. Наиболее частая причина этого заключается в том, что теперь вам нужен DHCP-сервер, работающий либо на самом сервере доступа, либо в сети, к которой подключен сервер доступа (но не в обоих одновременно), и что любой из таких DHCP-серверов выполняет не существует или недоступен, потому что сеть или устройство, на котором работает DHCP-сервер, имеют функцию безопасности, которая называется спуфингом MAC-адреса или неразборчивым режимом, установленным на безопасный уровень.Оба эти термина описывают одну и ту же идею, когда один компьютер, в данном случае сервер доступа, одновременно притворяется несколькими системами, что имеет смысл в данном случае, поскольку он пытается обрабатывать трафик для нескольких клиентов VPN, которые все хотят. возможность подключения к подключенной сети. На виртуальных платформах, таких как ESXi или HyperV, вам может потребоваться изучить эти настройки на виртуальном коммутаторе и разрешить этот тип поведения в сети, прежде чем режим моста 2-го уровня сможет работать. Обратите внимание, что из-за дополнительной сложности реализации режима моста уровня 2, когда внешнее оборудование обычно является причиной проблемы, мы не сможем предложить вам адекватную поддержку в решении этой проблемы.Мы можем только гарантировать, что сервер доступа и клиенты OpenVPN могут установить соединение, но проблемы с IP-адресацией и передачей трафика, которые пересекают границу, где сервер доступа подключается к вашей сети и не функционирует оттуда, - это не то, что мы можем решить. с нашей стороны.

Разрешить многоадресную рассылку UDP и IGMP проходить через

По умолчанию в режиме маршрутизации уровня 3, который обычно используется сервером доступа, весь трафик является одноадресным. Это означает, что через VPN-сервер будет разрешено проходить только трафику с определенным IP-адресом назначения.Многоадресный трафик или широковещательный трафик, имеющий характеристику «кому это может беспокоить», блокируется. Можно снять ограничение на многоадресные UDP-пакеты и IGMP-пакеты, чтобы они свободно проходили между VPN-клиентами и VPN-сервером. Некоторые программы используют их для автоматического обнаружения систем или сервисов в сети, поэтому этот параметр может быть полезен в такой ситуации. Ключ конфигурации vpn.routing.allow_mcast позволяет этому трафику проходить. По умолчанию он отключен.Включение многоадресной передачи UDP и сквозной передачи трафика IGMP:

 ./sacli --key "vpn.routing.allow_mcast" --value "true" ConfigPut
./sacli start 

Восстановить настройку по умолчанию:

 ./sacli --key "vpn.routing.allow_mcast" ConfigDel
./sacli start 

Этот параметр реализует следующие правила iptables на сервере VPN, что позволяет трафику проходить:

 ПРИНЯТЬ udp - в любом месте base-address.mcast.net/4 udp
ПРИНЯТЬ igmp - где угодно и где угодно
ПРИНЯТЬ udp - любой базовый адрес.mcast.net/4 udp
ПРИНЯТЬ igmp - в любом месте