Acerca del firewell de tu instancia de servidor de GitHub Enterprise
GitHub Enterprise Server utiliza Ubuntu's Uncomplicated Firewall (UFW) en el aparato virtual. Para obtener más información, consulta "UFW" en la documentación de Ubuntu. Con cada lanzamiento, GitHub Enterprise Server actualiza automáticamente la lista blanca de los servicios permitidos del firewell.
Después de que instales GitHub Enterprise Server, se abren automáticamente todos los puertos de red obligatorios para aceptar las conexiones. Cada puerto no obligatorio se configura automáticamente en deny
(rechazar), y la directiva predeterminada resultante se configura en allow
(permitir). Se habilita el rastreo con estado para todas las conexiones nuevas. Estas suelen ser paquetes de red con el conjunto de bits SYN
. Para obtener más información, consulta "Puertos de red."
El firewall de UFW también abre varios puertos más que son obligatorios para que GitHub Enterprise Server funcione correctamente. Para obtener más información sobre el conjunto de reglas de UFW, consulta el README de UFW.
Ver las reglas de firewell predeterminadas
- SSH en tu instancia de servidor de GitHub Enterprise.
$ ssh -p 122 admin@HOSTNAME
- Para ver las reglas de firewall predeterminadas, utiliza el comando
sudo ufw status
. Debes ver un resultado similar a este:$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)
Agregar reglas de firewell personalizadas
Warning: Before you add custom firewall rules, back up your current rules in case you need to reset to a known working state. Si estás bloqueado de tu servidor, comunícate con GitHub Enterprise Support](https://enterprise.githubsupport.com/hc/en-us) o GitHub Premium Support para reconfigurar las reglas originales del firewall. Restaurar las reglas originales del firewall implica tiempo de inactividad para tu servidor.
- Configura una regla de firewall personalizada.
- Verifica el estado de cada nueva regla con el comando
estado numerado
.$ sudo ufw status numbered
- Para hacer una copia de seguridad de tus reglas de firewall personalizadas, utiliza el comando
cp
para pasar las reglas a un archivo nuevo.$ sudo cp -r /lib/ufw ~/ufw.backup
Después de actualizar tu instancia de servidor de GitHub Enterprise, debes volver a aplicar tus reglas de firewall personalizadas. Recomendamos que crees un script para volver a aplicar las reglas de firewall personalizadas.
Restaurar las reglas de firewell predeterminadas
Si algo sale mal después de que cambies las reglas de firewell, puedes restablecer las reglas desde la copia de seguridad original.
Warning: If you didn't back up the original rules before making changes to the firewall, contact GitHub Enterprise Support](https://enterprise.githubsupport.com/hc/en-us) o GitHub Premium Support for further assistance.
- SSH en tu instancia de servidor de GitHub Enterprise.
$ ssh -p 122 admin@HOSTNAME
- Para restablecer las reglas de la copia de seguridad anterior, vuélvelas a copiar en el firewell con el comando
cp
.$ sudo cp -f ~/ufw.backup/*rules /lib/ufw
- Vuelve a iniciar el firewell con el comando
systemctl
.$ sudo systemctl restart ufw
- Confirma que las reglas recuperaron su forma predeterminada con el comando
ufw status
(estado de ufw).$ sudo ufw status > Status: active > To Action From > -- ------ ---- > ghe-1194 ALLOW Anywhere > ghe-122 ALLOW Anywhere > ghe-161 ALLOW Anywhere > ghe-22 ALLOW Anywhere > ghe-25 ALLOW Anywhere > ghe-443 ALLOW Anywhere > ghe-80 ALLOW Anywhere > ghe-8080 ALLOW Anywhere > ghe-8443 ALLOW Anywhere > ghe-9418 ALLOW Anywhere > ghe-1194 (v6) ALLOW Anywhere (v6) > ghe-122 (v6) ALLOW Anywhere (v6) > ghe-161 (v6) ALLOW Anywhere (v6) > ghe-22 (v6) ALLOW Anywhere (v6) > ghe-25 (v6) ALLOW Anywhere (v6) > ghe-443 (v6) ALLOW Anywhere (v6) > ghe-80 (v6) ALLOW Anywhere (v6) > ghe-8080 (v6) ALLOW Anywhere (v6) > ghe-8443 (v6) ALLOW Anywhere (v6) > ghe-9418 (v6) ALLOW Anywhere (v6)