Как перенаправить порт через брандмауэр в ubuntu

Управление портами: как контролировать доступ

Открытие и закрытие портов – это основные действия для управления доступом к вашим приложениям и службам. Проброс портов позволяет внешним устройствам подключаться к вашим службам через роутер или файрвол.

Как открыть порт:

Чтобы открыть порт, обычно нужно настроить фаервол или роутер, указав, какие порты должны быть доступны для внешних соединений. Это как если бы вы дали ключ от своего дома друзьям, чтобы они могли зайти, когда захотят.

В заключение, понимание работы портов в компьютере – это ключ к эффективной и безопасной работе с сетью. Зная, как они работают, вы можете лучше защитить свои данные и обеспечить надежную работу своих сетевых приложений.

Ручная переадресация портов на роутере TP-Link и Asus.

Для начала нужно определиться с номером порта, который мы хотим открыть. Например, мы хотим сделать проброс портов для торрента. Идем в настройки программы по уже знакомому пути и смотрим в строку «Порт входящих соединений». Запишите номер из окна для генерации и снимите все галочки кроме пункта «В исключения брандмауэра». Не забудьте применить сделанные изменения.

Теперь нужно узнать MAC-адрес своего устройства. В нашем случае это компьютер и его физический адрес нам понадобиться позже. Нажмите кнопку «Пуск» —  «Панель управления» — «Центр управления сетями и общим доступом» — «Подключение по локальной сети» и нажмите кнопку «Сведения…». В поле «Физический адрес» вы увидите MAC-адрес своего компьютера.

Теперь зайдите в интерфейс маршрутизатора. Здесь первым делом, нам нужно для своего компьютера задать статический IP-адрес. Далее путь для каждого сетевого устройства свой.

TP-Link. В правом меню найдите «Привязка IP- и MAC-адресов» и перейдите на вкладку «Таблица ARP». Здесь отображены все устройства, которые подключены к нашей сети, а в столбце «Состояние» показан статус привязки (несвязанно). Поскольку мы уже знаем MAC-адрес компьютера, то в строке с физическим адресом видим присвоенный ему IP сервером DHCP. Его мы впишем на следующей вкладке.

Поднимитесь на вкладку выше с названием «Параметры привязки» и активируйте «Связывание ARP» и нажмите «Сохранить». Далее следует нажать кнопку «Добавить новую…» и задать параметры необходимые настройки. В новом окне нужно прописать физический адрес компьютера (MAC), присвоенный ему IP и нажать кнопку «Сохранить».

Теперь MAC- и IP- адреса связаны между собой для персонального компьютера. Об этом также свидетельствует вкладка «Таблица ARP». Если у Вас много устройств в сети и вы желаете им всем задать статический IP, то можно в «Таблице ARP» нажать кнопку «Связать все» предварительно активировав «Связывание ARP».

Осталось задать параметры для проброса портов. Зайдите в «Переадресация» (Forwarding) на вкладку «Виртуальные серверы» (Virtual Servers) и нажмите кнопку «Добавить новую» (Add New…). Теперь прописываем известные нам параметры. В поле «Порт сервиса» (Service Port) и «Внутренний порт» (Internal Port) указываем порт торрент-клиента, а в «IP-адрес» присвоенный IP компьютеру. В выпадающем списке «Протокол» (Protocol) выбираем «Все» (All) и в поле «Состояние» (Status) ставим «Включено» и нажимаем «Сохранить».

После этого для компьютера будет зарезервирован прописанный нами порт и P2P клиент сможет обмениваться входящими и исходящими пакетами.

О принципе по которому работает роутер можно узнать здесь.

Asus. Нажмите в боковом меню «Локальная сеть» и перейдите на вкладку «DHCP-сервер». В самом низу страницы активируйте пункт «Включить назначения вручную». Ниже есть поле «Список присвоенных вручную IP-адресов в обход DHCP». Вот он то нам и нужен. В выпадающем списке поля «MAC-адрес» нужно выбрать физический адрес компьютера, который мы узнали заранее. Поскольку у меня включен DHCP, то в поле «IP-адрес» автоматически подставился текущий IP компьютера.

Осталось кликнуть по кружку «Добавить/Удалить» и нажать кнопку «Применить». Роутер перезагрузится и после каждого подключения к сети, компьютер будет иметь один и тот же IP-адрес.

Теперь в административной панели в боковом меню кликните по «Интернет» и перейдите на вкладку «Переадресация портов». В строке «Включить переадресацию портов» переставьте точку в положение «Да».  Далее нужно опуститься в блок «Список переадресованных портов» и в поле «Имя службы» указать uTorrent, поскольку мы открываем порт для этой программы. В строке «Диапазон портов» указываем номер порта P2P клиента, который мы узнали заранее.

В поле «Локальный IP-адрес» выбираем статический IP-адрес компьютера, который мы только что привязали и в строке «Локальный порт» снова указываем порт Torrent-клиента. В выпадающем списке «Протокол» выбираем BOTH (оба протокола). Осталось кликнуть по кружку «Добавить» и кнопку «Применить». После презегрузки порт будет открыт для раздачи и закачки файлов из интернета от программы uTorrent.

Теперь вы имеете представление о том, как настроить проброс портов на роутере TP-Link и Asus. Безусловно автоматический способ намного удобнее, чем ручной и многие люди используют функцию UPnP, но правильнее задавать все настройки в ручную. Однако, это дело каждого и вы вольны выбрать способ, который вам ближе.

Если возникнут какие-то проблемы, то вы всегда можете сбросить установки роутера до заводских и настроить его заново. Если у Вас есть желание дополнить статью, то милости просим в комментарии. Пока!

2 – Application Profiles

When the APT package manager installs a new package that requires UFW open ports, it creates an application profile in the /etc/ufw/applications.d directory. This profile specifies the ports that the installed application needs to operate properly.

To see which applications have generated a profile, use the following command:

sudo ufw app list

The output may vary depending on the packages installed on your system. If you want to learn more about a specific profile and its associated rules, you can use the command below:

sudo ufw app info ‘CUPS’

In this example, we’ve used ‘CUPS’ , but you should replace ‘CUPS’ with an entry from the list generated by the previous command.

Read : How to install OpenSSH server on Ubuntu ?

3. Add Firewall Rule

The first firewall rule you need to add is the following one:

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

This basically tells your firewall to accept your current SSH connection. The next step is to allow traffic on your loopback interface and to open some basic ports like for SSH and for HTTP.

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

You are now ready to open the other ports you want to allow traffic to. Use the same command as you used to open the port 22 and 80 in the previous example.

Delete UFW Rules

There are two ways you can delete UFW rules, with the actual rule and with rule numbers.

The first method to delete a rule by specifying the actual rule. For example, to delete a rule for port 80 and 443 run the following command:

The second method to delete a rule by specifying rule numbers. First, you will need to find the number of the rule you want to delete. You can list all the rules with numbers as shown below:

You should see the following output:

Now, delete the rule number 6 with the following command:

To delete the rule number 3, run the following command:

You can see the sample output of all commands in the following screen:

Статистика открытых портов в Linux через ss

Однако, ss делает это проще и быстрее, чем netstat. Кроме того, ss даёт более подробные сведения о TCP-подключениях и о состояниях соединений, чем большинство других инструментов. Утилита ss позволяет просматривать информацию об используемых сокетах в системе.

Эта команда обладает схожим функционалом к netstat, но есть и уникальные возможности. Например можно фильтровать вывод по установленным соединениям с определенным портом.

Список процессов, использующие соединения в данный момент

Список сокетов в режиме прослушивания

Пример фильтра — список всех соединений к порту 80

Opening Ports

You might also need to open additional ports, depending on the applications that are running on the system. The following is the standard syntax for opening a port:

Some methods for enabling HTTP connections are listed below.

The first method is to use the service name. UFW verifies the file for the port and protocol of the given service:

Additionally, you can define the protocol and port number:

The UFW sets rules for both and when no protocol is specified.

Another alternative is to use the application profile; in this case, ‘Nginx HTTP’:

Port Ranges

You may open port ranges with UFW as well. You must specify the protocol, either or , and the start and finish ports are separated by a colon .

Furthermore, you should use the following command, for instance, to allow ports to on both and :

Specific IP Address and port

Use the keyword followed by the source IP address to enable connections on all ports from that source IP.

Here is an example of how to whitelist an IP address:

Use the keyword followed by the specified port number if you want to restrict access to a single port for the specified IP address.

For instance, use the following command to permit access on from a system with the IP address :

Subnets

When using a subnet of IP addresses, the syntax is the same as when using a single IP address. The only distinction is that the netmask must be specified.

An example of how to grant access to port (MySQL) for IP addresses spanning from to is provided below:

Specific Network Interface

Use the keyword followed by the name of the network interface to accept connections on that specific network interface:

Denying connections

The default policy for all incoming connections is set to , and if you have not revised it, UFW will block all incoming connections unless you explicitly open the connection.

Writing deny rules is identical to writing allow rules; the only difference is that you use the keyword instead of .

Assume you opened ports and , and your server is under attack from the network. You would use the following command to block all connections from :

You can use the following command to prohibit access exclusively to ports and from :

Основные протоколы интернета

Как я уже сказал. в основе работы сети лежит использование нескольких протоколов, которые работают один поверх другого. Давайте рассмотрим основные сетевые протоколы интернет, которые вам будут часто встречаться, и попытаемся понять разницу между ними.

• MAC или (Media Access Control) — это протокол низкого уровня, который используется для идентификации устройств в локальной сети. У каждого устройства, подключенного к сети есть уникальный MAC адрес, заданный производителем. В локальных сетях, а все данные выходят из локальной сети и попадают в локальную сеть перед тем, как попасть к получателю, используются физические MAC адреса для обозначения устройств. Это один из немногих протоколов уровня соединения, с которым довольно часто приходится сталкиваться.
• IP ( Internet Protocol) — расположен уровнем выше, за MAC. Он отвечает за определение IP адресов, которые будут уникальными для каждого устройства и позволяют компьютерам находить друг друга в сети. Он относится к сетевому уровню модели TCP/IP. Сети могут быть связанны друг с другом в сложные структуры, с помощью этого протокола компьютеры могут определить несколько возможных путей к целевому устройству, причем во время работы эти пути могут меняться. Есть несколько реализаций протокола, но наиболее популярной на сегодняшний день является IPv4 и IPv6.
• ICMP (Internet control message protocol) — используется для обмена сообщениями между устройствами. Это могут быть сообщения об ошибках или информационные сообщения, но он не предназначен для передачи данных. Такие пакеты используются в таких диагностических инструментах, как ping и traceroute. Этот протокол находится выше протокола IP;
• TCP (Transmission control protocol) — это еще один основной сетевой протокол, который находится на том же уровне, что и ICMP. Его задача — управление передачей данных. Сети ненадежны. Из-за большого количества путей пакеты могут приходить не в том порядке или даже теряться. TCP гарантирует, что пакеты будут приняты в правильном порядке, а также позволяет исправить ошибки передачи пакетов. Информация приводится к правильному порядку, а уже затем передается приложению. Перед передачей данных создается соединение с помощью так называемого алгоритма тройного рукопожатия. Он предусматривает отправку запроса и подтверждение открытия соединения двумя компьютерами. Множество приложений используют TCP, это SSH, WWW, FTP и многие другие.
• UDP (user datagram protocol) — это популярный протокол, похожий на TCP, который тоже работает на транспортном уровне. Отличие между ними в том, что здесь используется ненадежная передача данных. Данные не проверяются при получении, это может выглядеть плохой идеей, но во многих случаях этого вполне достаточно. Поскольку нужно отправлять меньше пакетов, UDP работает быстрее, чем TCP. Поскольку соединение устанавливать не нужно, то этот протокол может использоваться для отправки пакетов сразу на несколько машин или IP телефонии.
• HTTP (hypertext transfer protocol) — это протокол уровня приложения, который лежит в основе работы всех сайтов интернета. HTTP позволяет запрашивать определенные ресурсы у удаленной системы, например, веб страницы, и файлы;
• FTP (file transfer protocol) — это протокол передачи файлов. Он работает на уровне приложений и обеспечивает передачу файла от одного компьютера к другому. FTP — не безопасный, поэтому не рекомендуется его применять для личных данных;
• DNS (domain name system) — протокол того же уровня, используемый для преобразования понятных и легко читаемых адресов в сложные ip адреса, которые трудно запомнить и наоборот. Благодаря ему мы можем получить доступ к сайту по его доменному имени;
• SSH (secure shell) — протокол уровня приложений, реализованный для обеспечения удаленного управления системой по защищенному каналу. Многие дополнительные технологии используют этот протокол для своей работы.

Есть еще очень много других протоколов, но мы рассмотрели только сетевые протоколы, которые больше всего важны. Это даст вам общие понятия того, как работает сеть и интернет в целом.

Шаг 2: Настройка конфигурационного файла

После успешного установления SSH-сервера на вашей ubuntu локальной машине, необходимо произвести настройку конфигурационного файла, чтобы обеспечить безопасность информации в сети.

Для начала откройте терминал и введите команду «sudo nano /etc/ssh/sshd_config» для открытия файла конфигурации. Далее, измените стандартный порт SSH на свой собственный, чтобы предотвратить возможные атаки.

Настройте параметры доступа к SSH-серверу, исключив все возможные уязвимости с помощью закрытых ключей и отключения входа под суперпользователем. Это поможет улучшить безопасность вашей машины и защитит ее от несанкционированного доступа.

Важно сохранить изменения после настройки конфигурационного файла, чтобы они вступили в силу. После этого вы сможете открыть порт SSH на своей Ubuntu и насладиться безопасным подключением к вашей локальной машине из любого уголка мира

Проверка текущих настроек

Перед тем как открыть порт SSH на сервере, необходимо убедиться, что данная настройка не была изменена ранее или что порт уже открыт. Для этого можно выполнить следующие шаги:

• Проверка локальных настроек: в терминале Ubuntu можно выполнить команду sudo ufw status verbose, чтобы посмотреть информацию о текущих настройках межсетевого экрана. Если порт SSH открыт, то в списке правил должны быть строки с указанием порта (обычно 22) и соединения (ALLOW). Если правил нет, то порт закрыт.
• Проверка удаленных настроек: если необходимо проверить настройки внешней сети, то можно воспользоваться онлайн-утилитами, например, Port Checker или Open Port Check Tool. Нужно ввести адрес сервера и порт SSH (по умолчанию 22) и нажать на кнопку «Check». В результате будет выведена информация о доступности порта.

Очень важно убедиться, что порт SSH открыт только там, где это необходимо, и что данная настройка не нарушает безопасность вашей системы. Поэтому перед открытием порта рекомендуется внимательно изучить документацию и консультироваться с опытными специалистами

Изменение настроек SSH-сервера

SSH (Secure Shell) – это протокол безопасного удаленного доступа к серверу, позволяющий шифровать информацию, передаваемую между рабочими станциями и серверами. Он стандартно установлен в операционной системе Ubuntu и позволяет получить доступ к серверу по сети через локальную сеть или интернет.

Для достижения максимальной безопасности необходимо правильно настроить SSH-сервер. Одной из основных настроек является изменение порта, который используется SSH-сервером. По умолчанию SSH работает на порту 22, что может стать объектом атак со стороны злоумышленников. Чтобы предотвратить возможность атаки, рекомендуется изменить порт на другой, например, на 2222.

Для изменения порта нужно зайти в файл /etc/ssh/sshd_config следующей командой:

В этом файле нужно найти строку «Port 22» и заменить ее на «Port 2222». После изменения сохраните файл.

Кроме порта, вы можете изменить и другие настройки, такие как использование пароля для входа, ключей аутентификации, список разрешенных пользователей и т.д. Но помните, что любые изменения настроек должны быть выполнены только с полным пониманием их последствий.

Изменение настроек SSH-сервера является необходимым шагом для обеспечения безопасности вашего сервера. Но помните, что другие меры, такие как использование сложных паролей и необходимость использования двухфакторной аутентификации, также крайне важны.

Пример

Представьте, что интернет — это огромный торговый центр, а веб-сайты — это различные магазины внутри него. Каждый магазин имеет свой уникальный номер (адрес), чтобы посетители могли его найти. Так вот, «порт» в интернете действует как дверь в магазин. Если адрес магазина — это IP-адрес сайта, то номер порта — это конкретная дверь, через которую вы можете войти.

Пример из жизни:

Вы хотите зайти на сайт, чтобы почитать новости. Ваш компьютер использует браузер, который, по умолчанию, пытается подключиться к сайту через порт 80 для HTTP или порт 443 для HTTPS (более безопасный вариант). Это как если бы вы подходили к магазину и автоматически знали, что основная входная дверь находится под номером 80 или 443.

http

Скопировать код

В этих URL-адресах — это адрес магазина (сайта), а или — номера дверей (портов), через которые вы входите.

Как это работает в программировании:

Когда вы разрабатываете веб-сервер, вы «открываете» порт (например, 8080), чтобы другие могли подключаться к вашему приложению. Это как открыть дверь магазина в начале рабочего дня, чтобы покупатели могли войти.

Python

Скопировать код

В этом примере на Python создается простой веб-сервер, который «слушает» порт 8080. Когда кто-то пытается подключиться к вашему компьютеру через порт 8080, сервер обрабатывает запрос и может отдать веб-страницу или другие данные.

Итак, порты — это способ организовать трафик в интернете, позволяя разным приложениям и службам работать одновременно без путаницы, точно так же, как разные двери позволяют вам входить в разные магазины в торговом центре.

Уровни сетей и модель OSI

Обычно, сети обсуждаются в горизонтальной плоскости, рассматриваются протоколы сети интернет верхнего уровня и приложения. Но для установки соединений между двумя компьютерами используется множество вертикальных слоев и уровней абстракции. Это означает, что существует несколько протоколов, которые работают друг поверх друга для реализации сетевого соединения. Каждый следующий, более высокий слой абстрагирует передаваемые данные и делает их проще для восприятия следующим слоем, и в конечном итоге приложением.

Существует семь уровней или слоев работы сетей. Нижние уровни будут отличаться в зависимости от используемого вами оборудования, но данные будут передаваться одни и те же и будут иметь один и тот же вид. На другую машину данные всегда передаются на самом низком уровне. На другом компьютере, данные проходят все слои в обратном порядке. На каждом из слоев к данным добавляется своя информация, которая поможет понять что делать с этим пакетом на удаленном компьютере.

Модель OSI

Так сложилось исторически, что когда дело доходит до уровней работы сетей, используется модель OSI или Open Systems Interconnect. Она выделяет семь уровней:

• Уровень приложений — самый верхний уровень, представляет работу пользователя и приложений с сетью Пользователи просто передают данные и не задумываются о том, как они будут передаваться;
• Уровень представления — данные преобразуются в более низкоуровневый формат, чтобы быть такими, какими их ожидают получить программы;
• Уровень сессии — на этом уровне обрабатываются соединения между удаленным компьютерами, которые будут передавать данные;
• Транспортный уровень — на этом уровне организовывается надежная передача данных между компьютерами, а также проверка получения обоими устройствами;
• Сетевой уровень — используется для управления маршрутизацией данных в сети пока они не достигнут целевого узла. На этом уровне пакеты могут быть разбиты на более мелкие части, которые будут собраны получателем;
• Уровень соединения — отвечает за способ установки соединения между компьютерами и поддержания его надежности с помощью существующих физических устройств и оборудования;
• Физический уровень — отвечает за обработку данных физическими устройствами, включает в себя программное обеспечение, которое управляет соединением на физическом уровне, например, Ehternet или Wifi.

Как видите, перед тем, как данные попадут к аппаратному обеспечению им нужно пройти множество слоев.

Модель протоколов TCP/IP

Модель TCP/IP, еще известная как набор основных протоколов интернета, позволяет представить себе уровни работы сети более просто. Здесь есть только четыре уровня и они повторяют уровни OSI:

• Приложения — в этой модели уровень приложений отвечает за соединение и передачу данными между пользователям. Приложения могут быть в удаленных системах, но они работают как будто бы находятся в локальной системе;
• Транспорт — транспортный уровень отвечает за связь между процессами, здесь используются порты для определения какому приложению нужно передать данные и какой протокол использовать;
• Интернет — на этом уровне данные передаются от узла к узлу по сети интернет. Здесь известны конечные точки соединения, но не реализуется непосредственная связь. Также на этом уровне определяются IP адреса;
• Соединение — этот уровень реализует соединение на физическом уровне, что позволяет устройствам передавать между собой данные не зависимо от того, какие технологии используются.

Эта модель менее абстрактная, но мне она больше нравиться и ее проще понять, поскольку она привязана к техническим операциям, выполняемым программами. С помощью каждой из этих моделей можно предположить как на самом деле работает сеть. Фактически, есть данные, которые перед тем, как будут переданы, упаковываются с помощью нескольких протоколов, передаются через сеть через несколько узлов, а затем распаковываются в обратном порядке получателем. Конечные приложения могут и не знать что данные прошли через сеть, для них все может выглядеть как будто обмен осуществлялся на локальной машине.

Открыть порт в Ubuntu / Debian, указав системную службу

Некоторые службы и профили определены в UFW. Эти службы используют определенный порт, поэтому мы также можем открыть порты с помощью названия службы. Это очень удобно новичкам, которые не знают какая служба какой порт использует.

Итак, чтобы открыть порты с помощью этого метода, нам нужно использовать следующий синтаксис:

Например:

И вы должны получить следующий результат:

Открыть порт SSH в UFW на Ubuntu или Debian

В данном примере будет открыт порт 22, который является портом, используемым SSH.

Если вы хотите узнать, какие еще службы вы можете использовать, вы можете ознакомиться с ними, введя команду.

Вот так все просто, данная команда покажет все основные службы и порты которые та или иная служба использует.

Advantages of Firewall with UFW

1. Easy to Use: UFW provides a simple and intuitive interface, making it effortless to manage firewall rules.
2. Security: UFW protects your system from unauthorized access and potential threats, ensuring your data and network remain safe.
3. Flexibility: UFW allows you to easily configure rules for incoming and outgoing traffic, providing granular control over network access.
4. Integration: UFW seamlessly integrates with other Linux security tools, enhancing the overall protection of your system.
5. Community Support: UFW has a large and active user community, providing ample resources and assistance for troubleshooting and customization.

4 – Activating IPv6 with UFW

If your Ubuntu server has IPv6 enabled, it’s important to ensure that UFW is configured to support IPv6. This allows it to manage firewall rules for both IPv4 and IPv6. To do this, you’ll need to edit the UFW configuration file. Here’s how you can do it using nano:

sudo nano /etc/default/ufw

In the output, you should see that the “IPV6” value is set to “yes”.

If you made any changes, save and exit: press Ctrl-X to quit, then Y to save.

UFW restart procedure: Now, you’ll need to disable and restart UFW using the following commands:

sudo ufw disable

sudo ufw enable

Once enabled, UFW will be capable of managing both IPv4 and IPv6 firewall rules.

Терминология

Прежде чем мы погрузимся в эту концепцию, давайте сначала разберёмся в терминологии, используемой в сетевых технологиях. Ниже перечислены наиболее распространённые термины, используемые в сетевых технологиях:

• Соединение: В сетевых технологиях соединение относится к передаче связанной информации через сеть. Соединение обычно устанавливается перед передачей данных и может быть ликвидировано по окончании передачи в соответствии с установленными протоколами.
• Пакет: Наименьшая единица данных, передаваемых по сети, называется пакетом. Пакеты действуют как оболочки, которые переносят данные от одной конечной точки к другой. Заголовок пакета содержит такую информацию, как источник и пункт назначения, временные метки, сетевые переходы и т.д. Основная часть пакета, также известная как полезная нагрузка, содержит фактические передаваемые данные.
• Сетевой интерфейс: Сетевой интерфейс относится к любому программному интерфейсу, который подключается к сетевому оборудованию. Например, если компьютер имеет две сетевые карты, то каждый сетевой интерфейс, связанный с ними, может управляться и настраиваться индивидуально. Сетевой интерфейс может быть связан с физическим устройством или виртуальным интерфейсом, например, устройством loopback.
• LAN: LAN означает локальная сеть и относится к сети или части сети, которая не является общедоступной для Интернета. Домашняя или офисная сеть является примером локальной сети.
• WAN: WAN означает глобальная сеть и относится к сети, которая больше, чем LAN. Этот термин часто используется для описания Интернета в целом.
• Протокол: Протокол — это набор правил и стандартов, определяющих язык общения устройств. В сетях используется множество протоколов, часто реализованных на разных уровнях. Некоторые низкоуровневые протоколы включают TCP, UDP, IP и ICMP. Примерами протоколов прикладного уровня, построенных на этих низших протоколах, являются HTTP, SSH и TLS/SSL.
• Порт: Порт — это адрес на одной машине, который может быть связан с определённым программным обеспечением. Он не является физическим интерфейсом или местом, но позволяет серверу взаимодействовать с несколькими приложениями. Например, веб-сервер может прослушивать порт 80 для HTTP-запросов и порт 22 для SSH-соединений.
• Брандмауэр: Брандмауэр — это программа, которая контролирует входящий и исходящий трафик на сервере. Он создаёт правила для того, какой тип трафика разрешён на тех или иных портах, и обычно блокирует порты, которые не используются определённым приложением на сервере.
• NAT: NAT означает трансляция сетевых адресов и представляет собой способ переупаковки и отправки входящих запросов на сервер маршрутизации соответствующим устройствам или серверам в локальной сети. Это часто используется в физических локальных сетях для маршрутизации запросов через один IP-адрес на необходимые внутренние серверы.
• VPN: VPN означает виртуальная частная сеть и позволяет отдельным локальным сетям соединяться через Интернет, сохраняя конфиденциальность. Это часто используется для подключения удалённых систем, как если бы они находились в локальной сети, в целях безопасности.

Этот список не является исчерпывающим, и другие термины будут объясняться по мере их появления. Понимание этих высокоуровневых понятий поможет при обсуждении последующих тем.

Application Profiles

An application profile is a text file in INI format that specifies the service and includes firewall rules for the service. During package installation, application profiles are created in the directory.

By running the following command, you can find a list of every application profile on your server:

The output will look like the following, depending on the packages that are installed on your system:

Use the following command to learn more about a specific profile and its rules:

It can be seen from the output that the “Nginx Full” profile opens ports and .

Not only that, but you can also design personalized profiles for your applications.