[iSam]

سلام
ما یک سرویس یا بهتر بگم اپلیکیشن بنام جیرا در سرور نصب کردیم. ما میخواهیم تحت شبکه داخلی که در حال کار هست همه سیستم ها بتونن بهش وصل بشن و کار کنن, که الآن هم میتونن. ولی میخواهیم نگذاریم جیرا کلا به اینترنت متصل شود (با آی پی تیبل و ... نمیشه چون جیرا پورتهای زیادی رو که مشترک با سیار اپلیکیشن ها است رو اشغال کرده و ما اصلا نمیدونیم با کدام پورت وصل میشه و ... میشه یک گت وی یا چیزی تعریف کرد که این خواسته برآورده بشه؟ ممنون از راهنماییتون.

[iSam]

عجیب گیر اینم, میشه راهنمایی کنید لطفا؟

[mah454]

میشه توضیح بدید که سرویس jira چه کار میکنه ؟
از کجا میدونی که این سیستم پورت مشترک با دیگر برنامه ها رو داره ؟ که بعید میدونم اینجوری باشه ...
خروجی دستور زیر رو بزار :

کد :

netstat -nltup

[iSam]

این برنامه مدیریت پروژه هست و ما کرکش کردیم و نصب کردیم چون لایسنسش فوق العاده گرونه. پورت دیفالتش ۸۰۸۰ هست و ما نمیخواهیم روی این سرور, فقط این برنامه با اینترنت کاری داشته باشه. من خروجی نت استت رو میذارم:

(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:11211 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:46004 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:8649 0.0.0.0:* LISTEN -
tcp6 0 0 :::8080 :::* LISTEN 12664/java
tcp6 0 0 :::22 :::* LISTEN -
tcp6 0 0 ::1:631 :::* LISTEN -
tcp6 0 0 127.0.0.1:8005 :::* LISTEN 12664/java
udp 0 0 0.0.0.0:45201 0.0.0.0:* -
udp 0 0 0.0.0.0:68 0.0.0.0:* -
udp 0 0 239.2.11.71:8649 0.0.0.0:* -
udp 0 0 0.0.0.0:11211 0.0.0.0:* -
udp 0 0 0.0.0.0:718 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* -
udp 0 0 0.0.0.0:49652 0.0.0.0:* -

ممنون.

[MASoft]

شاید چیزی مثل این بتونه کمک کنه: لینک

[mah454]

میتونی توی فایروال تعریف کنی :

کد :

iptables -A OUTPUT -p tcp -s <JIRA_IPADDR> --dport 8080 -d 0.0.0.0 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0 --dport 8080 -d <JIRA_IPADDR> -j DROP

کد اشکال داشت ...
ویرایش شد ...

[iSam]

بجای اون 0.0.0.0 هم آی پی سروری که جیرا روش نصب هست رو بدم, درسته؟ ضمنا بعد از انجام دستور کامند زیر رو اجرا کنم تا سیو بشه؟
/sbin/service iptables save
مثلا برای سروروی که آی پی 192.168.0.150 داره باید بصورت زیر نوشت:

iptables -A OUTPUT -p 8080 -s <JIRA_IPADDR> --dport 8080 -d 192.168.0.150 -j DROP
iptables -A INPUT -p 8080 -s 192.168.0.150 --dport 8080 -d <JIRA_IPADDR> -j DROP

درسته؟

[mah454]

0.0.0.0 یعنی اینترنت .
شما باید روی خود سرور JIRA این دستورات رو اجرا کنید .
در ضمن به جای <JIRA_IPADDR> شما باید ip سرور JIRA رو بزارید .
اصلا یک کار دیگه انجام دهید :
این دوتا دستور :

کد :

iptables -A OUTPUT -p tcp --dport 8080 -d 0.0.0.0 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0 --dport 8080 -j DROP

[iSam]

من این دوتا دستور رو در ترمینال زدم:

کد :

saman@saman:~$ sudo iptables -A OUTPUT -p tcp --dport 8080 -d 0.0.0.0 -j DROP
saman@saman:~$ sudo iptables -A INPUT -p tcp -s 0.0.0.0 --dport 8080 -j DROP

بعد بلافاصله رفتم و با مسیر زیر جیرا رو باز کردم و رفتم قسمت آپدیت که میره از اینترنت چک میکنه و آپدیت میگیره ولی متاسفانه هنوز به نت وصل میشه!؟
<!-- m --><a class="postlink" href="http://localhost:8080">http://localhost:8080</a><!-- m -->

پینوشت: فعلا روی سیستم خودم درحال تست هستم تا نهایتا به سرور منتقل کنم.

[mah454]

داداش من باید با کاربر root دستور رو اجرا کنی :

کد :

su
[Enetr Password]

و بعد اجرای دستورات .

[iSam]

میشه بگید بعد از اجرای دستورات چطور در آی پی تیبل سیو کنم و بعد از ریست سیستم چطور چک کنم که او کی شده و بعد برم در جیرا اتصال به وب رو چک کنم؟ من دستورات زیر رو انجام دادم:

کد :

saman@saman:~$ sudo su
root@saman:/home/saman# cd
root@saman:~# iptables -A OUTPUT -p tcp --dport 8080 -d 0.0.0.0 -j DROP
root@saman:~# iptables -A INPUT -p tcp -s 0.0.0.0 --dport 8080 -j DROP

ممنون.

[mah454]

الان مشکل شما حل شد ؟
اگه حل شد این دوتا دستور که یه شما دادم رو داخل فایل etc/rc.local/ قبل از exit 0 بنویس .

[iSam]

نشد! این کارها رو کردم, بعد در منوی پلاگین جیرا رفتم و یکی از آپدیتها رو اجرا کردم و دیدم که داره میره و دانلود آپدیت میکنه!

[mah454]

اون دستورات رو به این تغییر یده :

کد :

iptables -A OUTPUT -p tcp --dport 8080 -d 0.0.0.0/0 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 8080 -j DROP

اگه نشه من دیگه چیزی به زهنم نمیرسه ...

[MASoft]

این دستورات کلا اشتباه هستند! ۸۰۸۰ پورتی هستش که خود JIRA روش سرویس میده، و در حقیقت اینجا هیچ نقشی نداره. چیزی که شما لازم داری یک فایروال هست که بالاترین بخش لایه ۷ رو کنترل کنه، یا به اصطلاح ‌Application Based باشه، و بر اساس برنامه‌ها دسترسی‌ها رو مشخص کنه. لینکی که دادم یک نمونه Application-Based Firewall هستش (که خودم امتحانش نکردم!) و احتمالا توش می‌تونید مشخص کنید که کلا این برنامه دسترسی به هیج جایی نداشته باشه.
مسلما راه‌های دیگه‌ای هم هست که توی لایه‌های پایینتر اینکارو کنید، ولی خوب کنترلش سخت‌تره.

[iSam]

من برنامه شما رو دانلود کردم ولی نصب نمیشه یعنی هیچ ریدمی یا کانفیگ یا ... نداره؟ اگر میشه کمک کنید تا این کار رو راه بندازم.

[MASoft]

من خودم هم از اون استفاده نکردم، باید بگیرمش ببینم چجوریه ...

[mah454]

البته راه حل های دیگری هم داره ...
مثلا بیاد gateway اینترنت رو از روی این سیستم برداره ...

[iSam]

نه باید اینترنت داشته باشه چون اپلیکیشن های روی سرور برای یکسری کارها به اینترنت نیاز دارند و فقط باید دسترسی اینترنت برای جیرا قطع بشه.

[iSam]

اون دستورات رو به این تغییر یده :

کد :

iptables -A OUTPUT -p tcp --dport 8080 -d 0.0.0.0/0 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 8080 -j DROP

اگه نشه من دیگه چیزی به زهنم نمیرسه ...

ممنون با این دستورات مثل اینکه داره کار میکنه چون میرم تو آپدیت دستی که هیچ آپدیتی اصلا نمیاره که گویای اینه که به نت وصل نمیشه و اتومات هم که درحال تست هست. اگر مشکلی بود باز خبر میدم. اگر هم کسی اون روش گت وی رو میدونه لطفا بگه چون بالآخره روش استاندارد تر و کاملتری است و برای اهداف دیگه هم بدرد میخوره. باز هم ممنون.