По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Начиная своё знакомство с iptables, следует рассказать про netfilter. Netfilter - это набор программных хуков внутри ядра Linux, которые позволяют модулям ядра регистрировать функции обратного вызова от стека сетевых протоколов.
Хук (hook) - это программный элемент, который позволяет перехватывать функции обратного вызова в чужих процессах.
Netfilter является основой для построения Firewall'а в дистрибутивах Linux, но для того, чтобы он заработал в полную силу его нужно настроить. Как раз с помощью iptables мы можем взаимодействовать с хуками Netfilter и создавать правила фильтрации, маршрутизации, изменения и транслирования пакетов. Иногда про Netfilter забывают и называют эту связку просто iptables.
Введение
Итак, iptables - это утилита для настройки программного Firewall'а (межсетевого экрана) linux, которая предустанавливается по умолчанию во все сборки Linux, начиная с версии 2.4. Запускается iptables из командной строки (CLI) под пользователем с правами root и настраивается там же.
Можете в этом убедиться, набрав команду iptables -V в командной строке, она покажет вам версию iptables.
Почему же iptables всем так понравился, что его стали включать во все сборки Linux? Всё дело в том, что iptables действительно очень прост в настройке. С помощью него можно решить следующие задачи:
Настроить stateless и statefull фильтрацию пакетов версий IPv4 и IPv6;
Stateless - это фильтрация, основанная на проверке статических параметров одного пакета, например: IP адрес источника и получателя, порт и другие не изменяющиеся параметры.
Statefull - это фильтрация, основанная на анализе потоков трафика. С помощью нее можно определить параметры целой TCP сессии или UDP потока.
Настраивать все виды трансляции IP адресов и портов NAT, PAT, NAPT;
Настроить политики QoS;
Производить различные манипуляции с пакетами, например - изменять поля в заголовке IP.
Прежде чем переходить к практике, давайте обратимся к теории и поймём саму логику iptables.
Логика и основные понятия iptables
Правила
Как и все файрволлы, iptables оперирует некими правилами (rules), на основании которых решается судьба пакета, который поступил на интерфейс сетевого устройства (роутера).
Ну допустим у нас есть сетевое устройство с адресом 192.168.1.1, на котором мы настроили iptables таким образом, чтобы запрещать любые ssh (порт 22) соединения на данный адрес. Если есть пакет, который идёт, например, с адреса 192.168.1.15 на адрес 192.168.1.1 и порт 22, то iptables скажет: “Э, нет, брат, тебе сюда нельзя” и выбросит пакет.
Или вообще ничего не скажет и выбросит, но об этом чуть позже :)
Каждое правило в iptables состоит из критерия, действия и счётчика
Критерий - это условие, под которое должны подпадать параметры пакета или текущее соединение, чтобы сработало действие. В нашем примере – этим условием является наличие пакета на входящем интерфейсе, устанавливающего соединение на порт 22
Действие - операция, которую нужно проделать с пакетом или соединением в случае выполнения условий критерия. В нашем случае – запретить пакет на порт 22
Счетчик - сущность, которая считает сколько пакетов было подвержено действию правила и на основании этого, показывает их объём в байтах.
Цепочки
Набор правил формируется в цепочки (chains)
Существуют базовые и пользовательские цепочки.
Базовые цепочки - это набор предустановленных правил, которые есть в iptables по умолчанию.
Существует 5 базовых цепочек и различаются они в зависимости от того, какое назначение имеет пакет. Имена базовых цепочек записываются в верхнем регистре.
PREROUTING - правила в этой цепочке применяются ко всем пакетам, которые поступают на сетевой интерфейс извне;
INPUT - применяются к пакетам, которые предназначаются для самого хоста или для локального процесса, запущенного на данном хосте. То есть не являются транзитными;
FORWARD - правила, которые применяются к транзитным пакетам, проходящими через хост, не задерживаясь;
OUTPUT - применяются к пакетам, которые сгенерированы самим хостом;
POSTROUTING - применяются к пакетам, которые должны покинуть сетевой интерфейс.
В базовых цепочках обязательно устанавливается политика по умолчанию, как правило – принимать (ACCEPT) или сбрасывать (DROP) пакеты. Действует она только в цепочках INPUT, FORWARD и OUTPUT
Таблица
Таблицы - это набор базовых и пользовательских цепочек. В зависимости от того, в какой таблице находится цепочка правил, с пакетом или соединением производятся определённые действия
Существует 5 таблиц:
filter - таблица, выполняющая функции фильтрации пакетов по определённым параметрам. В большинстве случаев вы будете использовать именно её. Содержит следующие встроенные цепочки: FORWARD, INPUT, OUTPUT;
raw - чтобы понять предназначение этой таблицы, нужно понимать логику работы statefull firewall'а. Дело в том, что по умолчанию, iptables рассматривает каждый пакет как часть большого потока и может определить какому соединению принадлежит тот или иной пакет. С помощью raw таблицы настраиваются исключения, которые будут рассматривать пакет как отдельную, ни к чему не привязанную сущность. Содержит следующие встроенные цепочки: INPUT, OUTPUT;
nat - таблица, предназначенная целиком по функции трансляции сетевых адресов. Содержит следующие встроенные цепочки: PREROUTING, OUTPUT, POSTROUTING;
mangle - таблица, предназначенная для изменения различных заголовков пакета. Можно, например, изменить TTL, количество hop'ов и другое. Содержит следующие встроенные цепочки: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING>;
security - используется для назначения пакетам или соединениям неких меток, которые в дальнейшем может интерпретировать SElinux.
Теперь мы можем представить себе логику iptables в виде следующей схемы:
Действия
Ну и последнее, о чем нужно рассказать, прежде чем мы с вами начнем писать правила - это target. В контексте iptables, target - это действие, которое нужно проделать с пакетом или соединением, которое совпало с критериями правила.
Итак, наиболее используемые действия:
ACCEPT - разрешить прохождение пакета;
DROP - тихо выбросить пакет, не сообщая причин;
QUEUE - отправляет пакет за пределы логики iptables, в стороннее приложение. Это может понадобиться, когда нужно обработать пакет в рамках другого процесса в другой программе;
RETURN - остановить обработку правила и вернуться на одно правило назад. Это действие подобно break'у в языке программирования.
Помимо этих четырех, есть ещё масса других действий, которые называются расширенными (extension modules):
REJECT - выбрасывает пакет и возвращает причину в виде ошибки, например: icmp unreachable;
LOG - просто делает запись в логе, если пакет соответствует критериям правила;
Есть действия, которые доступны только в определенной цепочке и таблицах, например, только в табоице nat и цепочках OUTPUT и PREROUTING доступно действие DNAT, которое используется в NAT'ировании и меняет Destination IP пакета. В той же таблице, только в цепочке POSTRUNNING доступно действие SNAT, меняющее Source IP пакета.
Отдельно остановимся на действии MASQUERADE, которое делает то же самое что SNAT, только применяется на выходном интерфейсе, когда IP адрес может меняться, например, когда назначается по DHCP.
Пишем правила
Отлично, теперь давайте приближаться к практике. Как Вы уже поняли, мы будем писать правила, поэтому нам нужно понять, как они строятся.
Итак, допустим у нас есть хост с адресом 192.168.2.17, на 80 (http) порту которого, работает вэб-сервер Apache. Мы заходим на адрес http://192.168.2.17 с хоста с адресом 192.168.2.2 и всё отлично работает:
А теперь открываем командную строку под root на хосте 192.168.2.17 и пишем:
iptables -A INPUT -p tcp -s 192.168.2.2 --dport 80 -j DROP
Попробуем открыть открыть http://192.168.2.17 ещё раз:
Упс, не работает. Давайте теперь разбираться, что мы наделали?
Всё очень просто – данной командой мы:
вызвали утилиту iptables;
-A - этим ключом мы указали, что нужно добавить правило к существующей цепочке;
INPUT - указали цепочку, к которой хотим добавить правило;
-p tcp - явно указали протокол TCP. Здесь также можно указывать другие протоколы (udp, icmp, sctp), или номер протокола, инкапсулируемого в IP (17 – udp, 6 – tcp и др.);
-s 192.168.2.2 - указали, какой адрес источника должен быть у пакета, который мы хотим фильтровать;
--dport 80 - указали адресованные какому порту пакеты мы хотим фильтровать. В данном случае - 80, на котором работает наш сервер Apache.
-j DROP - указали что нужно сделать с пакетом, параметры которого совпали с данными критериями. В данном случае – просто тихо выбросить.
Таким образом, мы заблокировали все пакеты с адреса 192.168.2.2 на локальный порт 80 и тем самым закрыли доступ к нашему серверу Apache для данного хоста.
Обратите внимание – мы не указывали таблицу, в цепочки которой мы хотим добавить правило. Поэтому, по умолчанию таблица - filter. Для явного указания таблицы нужно перед указанием цепочки ввести ключ -t или (--table)
Чтобы открыть доступ опять просто поменяем ключ -A в правиле на -D, тем самым мы удалим данное правило из iptables.
Синтаксис iptables
Друзья, на самом деле в iptables очень богатый синтаксис правил. Полный список ключей и параметров вы можете найти в официальном гайде на iptables.org. Мы же приведём самые “ходовые” опции, которыми вы, вероятно, будете пользоваться. Чтобы вы не запутались, мы приводим их в табличках ниже.
Для удобства, в iptables реализовано очень много сокращений для разных ключей. Например, мы писали ключ -A вместо полного --append, -p вместо полного --proto и -s вместо полного --source, дальше мы покажем, что ещё можно сократить и где применить.
Начнём с команд для редактирования правил и цепочек – добавления, удаления, замены и так далее:
коротко
синтаксис правила
применение
-A
--append {цепочка правила}
добавить правило к цепочке (в самое начало)
-D
--delete {цепочка правила}
удалить правило из цепочки
-D
--delete {номер правила в цепочке}
удалить правило из цепочки по номеру (1 - x)
-I
--insert {номер правила вцепочке}
вставить правило в цепочку по номеру (1 - x)
-R
--replace {номер правила вцепочке}
заменить правило в цепочке по номеру (1 - x)
-X
--delete-chain {цепочка}
удалить цепочку (только для пользовательских)
-E
--rename-chain {старое имя цепочки} {новое имя цепочки}
переименовать цепочку
-N
--new {имя цепочки}
создание новой пользовательской цепочки
-C
--check {правило цепочки}
проверит наличие правила в цепочке
-F
--flush {цепочка}
удаляет все правила в цепочке, если цепочка не указана – удалятся все правила
-Z
--zero {цепочка} {номер правила вцепочке}
обнуляет все счётчики пакетов и байтов в цепочке или всех цепочках
-P
--policy {цепочка} {номер правила вцепочке}
изменяет политику по умолчанию, она должна основываться на встроенном target’e {ACCEPT, DROP, QUEUE}
Продолжим синтаксисом настройки правил – на каком сетевом интерфейсе следить за пакетами, какой протокол проверять, адрес источника, назначения и так далее.
Кстати, перед некоторыми параметрами можно ставить восклицательный знак - !, означающее логическое НЕ. В таблице мы пометим такие параметры таким значком – (!)
коротко
синтаксис опции
применение
-p
(!) --proto {протокол}
протокол {tcp, udp, udplite, icmp, esp, ah, sctp} или номер протокола {16,7}, all - все протоколы
-4
--ipv4
указывает версию протокола ipv4
-6
--ipv6
указывает версию протокола ipv6
-s
(!) --source {адрес/маска}
указывает ip адрес источника
-d
(!) --destination {адрес/маска}
указывает ip адрес назначения
-m
--match
включает дополнительные модули, явно задающимися данным ключем. например <code>m limit --limit 3/min</code> - установит лимит на количество пакетов в минуту
-f
(!) --fragment
включает обработку фрагментированных пакетов, в которых нет параметров изначального полного пакета, содержащихся в первом фрагменте пакета
-i
(!) --in-interface {имя интерфейса}
обрабатывает только входящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
-o
(!) --out-interface {имя интерфейса}
обрабатывает только исходящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
--set-counters {пакеты} {байты}
включает счётчик для ключей--insert, --append, --replace
Теперь рассмотрим опции для действий, которые должны сработать по совпадению критериев:
коротко
синтаксис опции
применение
-j
--jump {действие}
применяет одно из действий accept, drop, reject и другие
-g
--goto {цепочка}
переходит к другой цепочке правил
Теперь рассмотрим какую информацию мы можем вытянуть с помощью iptables и какие опции для этого нужно использовать:
коротко
синтаксис команды
применение
-l
--list {цепочка} {номер правила}
показывает правила в цепочке или всех цепочках. по умолчанию покажет таблицу filter
-s
--list-rules{цепочка} {номер правила}
показывает текст правила в цепочке или всех цепочках
-n
--numeric
покажет параметры правила в числовом виде. например не порт будет не http, а 80
-v
--verbose
выводит более подробную информацию
-v
--version
покажет версию iptables
-x
--exact
покажет точные значения числовых параметров
--line-numbers
покажет номера правил
Для быстрого получения информации о настроенных правилах и о метриках их срабатывания, часто применяется команда, комбинирующая 3 ключа - iptables -nLv. Например, для настроенного нами ранее правила – вывод будет такой:
Пример посложнее
Давайте рассмотрим ещё один пример. Допустим у нас во локальной сети есть хост 192.168.2.19 с сервером Apache. Мы хотим сделать его доступным из Интернета. Для этого нам нужно воспользоваться возможностями таблицы nat и написать правило, которое будет перенаправлять входящий http трафик на внешний интерфейс (пусть будет enp0s3 с адресом 101.12.13.14) и порт 80 на адрес нашего сервера внутри сети и 80 порт – 192.168.2.19:80. По сути – нужно сделать проброс портов.
Напишем такое правило:
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 80 -j DNAT --to 192.168.2.19:80
Теперь если мы перейдём по адресу http://101.12.13.14, то должны попасть на наш Apache.
Возможности iptables настолько обширны, что мы могли бы начать писать новую Базу знаний по нему. В статье мы показали лишь базовые варианты применения. Это действительно великий инструмент и освоить его не так уж сложно. Надеюсь, данная статья Вам в этом поможет. Спасибо за внимание!
Подключаем точку доступа к сети с DHCP сервером, узнаем IP адрес и подключаемся к ней по SSH. Логин/пароль: ubnt/ubnt. Далее запускаем обновление прошивки на точке доступа. Для этого переходим по ссылке https://www.ui.com/download/unifi и выбираем модель оборудования. В разделе Firmware нажимаем на значок закачки, принимаем условия лицензии и нажимаем на Copy url:
После этого в терминале вводим команду:
upgrade https://dl.ui.com/unifi/firmware/U7PG2/4.3.20.11298/BZ.qca956x.v4.3.20.11298.200704.1347.bin
Данная команда скачает прошивку и запустит обновление.
Шаг №2
Поднимаем контроллер на виртуальной машине. В качестве ОС выбираем Linux Debian 9, и устанавливаем Ubuntu 18.04 Server. Рекомендую на DNS сервере создать A запись для контроллера. Что-то вроде unifics.domain.com. Даем доступ серверу в Интернет. Подключаемся к серверу и вводим следующие команды:
sudo apt-get update && sudo apt-get install ca-certificates apt-transport-https
echo 'deb https://www.ui.com/downloads/unifi/debian stable ubiquiti' | sudo tee /etc/apt/sources.list.d/100-ubnt-unifi.list
wget -qO - https://www.mongodb.org/static/pgp/server-3.4.asc | sudo apt-key add -
echo "deb https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
sudo apt-get update
sudo wget -O /etc/apt/trusted.gpg.d/unifi-repo.gpg https://dl.ui.com/unifi/unifi-repo.gpg
sudo apt-get update && sudo apt-get install unifi –y
Контроллер установлен. Состояние контроллера можно проверить следующей командой:
sudo service unifi status
Остановка, запуск и перезапуск:
sudo service unifi status
sudo service unifi start
sudo service unifi restart
Шаг №3
Теперь нужно подружить точки доступа с нашим контроллером. Для этого в Google Chrome скачиваем расширение Uni-Fi Discovery Tool.
Чтобы утилита определила подключенные к сети точки доступа (Access Point AP), компьютер с запущенной утилитой и AP должны находиться в одной подсети. Запускаем утилиту, нажимаем на кнопочку UniFi Family. Утилита найдет все устройства UniFi в сети. Нажимаем кнопку Action. Внимание, с первого раза кнопка может на отработать, так как там работает Java, поэтому стоит подождать. Далее в открывшемся окне в строке Inform URL вбиваем доменное имя нашего контроллера. Все остальное (порт, протокол) не меняем!
Шаг №4
Переходим на https://account.ui.com/register и регистрируемся в Облаке Uni-Fi. Это необходимо для удаленного управления устройствами с любой точки мира.
Шаг №5
Затем в браузере - рекомендуется Google Сhrome, открываем панель управления нашего новоиспеченного контроллера: https://unifics.domain.com:8443. У нас запросит название нашего сайта, то бишь Wi-Fi домена. Нажимаем Next. Вводим логин и пароль от облачного аккаунта, который зарегистрировали на предыдущем шаге:
Нажимаем Next. Контроллер отобразит точки доступа в сети, благодаря действия, которые проделали на третьем этапе (никакой магии).
Нажимаем Next. Задаем название (SSID) и пароль Wi-Fi сети. Всё это можно будет поменять. Переключатель Combine 2.4 GHz и 5 GHz Wi-Fi Network Names into one не трогаем.
Нажимаем Next. Выбираем часовой пояс, страну и нажимаем Finish. Контроллер начнёт применять изменения на точку доступа.
Шаг №6
Переходим в настройки кликнув на значок шестеренки в левом нижнем углу панели управления контроллером. В строке Controller Hostname/IP прописываем доменное имя нашего контроллера и обязательно ставим галочку перед Override inform host with controller hostname/IP.
Шаг №7
При добавлении новой точки доступа выполняем первый и третий шаг для каждого устройства. Затем среди доступных точек доступа появится AP со статусом Pending. Выбираем устройство и нажимаем Adopt. Контроллер применит все настройки на новое устройство.
Git – это популярная система контроля версий. Благодаря Git разработчики могут сотрудничать и без проблем работать над проектами совместно.
Git позволяет отслеживать изменения, которые вы вносите в проект с течением времени. Помимо этого, он позволяет вернуться к предыдущей версии, если вы вдруг решили не вносить изменение.
Git работает по следующему принципу: вы размещаете файлы в проекте с помощью команды git add, а затем фиксируете (коммитите) их с помощью команды git commit.
При совместной работе над проектами могут возникнуть ситуации, когда вы не захотите, чтобы какие-то файлы или части проекта были видны всем участникам команды.
Иными словами, вы не захотите включать и фиксировать эти файлы в основной версии проекта. Вот почему вы можете не захотеть использовать разделитель (точку) с командой git add, так как в этом случае каждый отдельный файл будет размещен в текущем каталоге Git.
Когда вы используете команду git commit, то каждый отдельный файл фиксируется – это также добавляет файлы, которые не нужно.
Вы можете, наоборот, захотеть, чтобы Git игнорировал определенные файлы, но для такой цели не существует команды git ignore.
Итак, как же сделать так, чтобы Git игнорировал и не отслеживал определенные файлы? С помощью файла .gitignore.
В этой статье вы узнаете, что такое файл .gitignore, как его создать и как использовать для игнорирования некоторых файлов и папок. Также вы узнаете, как можно заставить Git игнорировать уже закоммиченый файл.
Что такое файл .gitignore? Для чего он нужен?
Каждый из файлов в любом текущем рабочем репозитории Git относится к одному из трех типов:
Отслеживаемые – это все файлы и каталоги, о которых знает Git. Это файлы и каталоги, которые были недавно размещены (добавлены с помощью git add) и зафиксированы (закоммичены с помощью git commit) в главном репозитории.
Неотслеживаемые – это новые файлы и каталоги, которые созданы в рабочем каталоге, но еще не размещены (или добавлены с помощью команды git add).
Игнорируемые – это все файлы и каталоги, которые полностью исключаются и игнорируются, и никто о них в репозитории Git не знает. По сути, это способ сообщить Git о том, какие неотслеживаемые файлы так и должны остаться неотслеживаемыми и не должны фиксироваться.
Все файлы, которые должны быть проигнорированы, сохраняются в файле .gitignore.
Файл .gitignore – это обычный текстовый файл, который содержит список всех указанных файлов и папок проекта, которые Git должен игнорировать и не отслеживать.
Внутри файла .gitignore вы можете указать Git игнорировать только один файл или одну папку, указав имя или шаблон этого конкретного файла или папки. Используя такой же подход, вы можете указать Git игнорировать несколько файлов или папок.
Как создать файл .gitignore
Обычно файл .gitignore помещается в корневой каталог репозитория. Корневой каталог также известен как родительский или текущий рабочий каталог. Корневая папка содержит все файлы и другие папки, из которых состоит проект.
Тем не менее, вы можете поместить этот файл в любую папку в репозитории. Если на то пошло, но у вас может быть несколько файлов .gitignore.
Для того, чтобы создать файл .gitignore в Unix-подобной системе, такой как macOS или Linux, с помощью командной строки, откройте приложение терминала (например, в macOS это Terminal.app). Затем для того, чтобы создать файл .gitignore для вашего каталога, перейдите в корневую папку, которая содержит проект, и при помощи команды cd введите следующую команду:
touch .gitignore
Файлы, перед именем которых стоит точка ., по умолчанию скрыты.
Скрытые файлы нельзя просмотреть, используя только команду ls. для того, чтобы иметь возможность просмотреть все файлы, включая скрытые, используйте флаг -a с командой ls следующим образом:
ls –a
Что добавлять в файл .gitignore
В файл .gitignore должны быть добавлены файлы любого типа, которые не нужно фиксировать.
Вы можете не хотеть их фиксировать из соображений безопасности или потому, что они нужны только вам и не нужны другим разработчикам, работающим над тем же проектом, что и вы.
Вот некоторые файлы, которые могут быть включены:
Файлы операционной системы. Каждая операционная система, будь то macOS, Windows или Linux, создает системные скрытые файлы, которые не нужны другим разработчикам, так как их система создает такие же файлы. Например, в macOS Finder создает файл .DS_Store, который содержит пользовательские настройки внешнего вида и отображения папок, такие как размер и положение иконок.
Файлы конфигурации, создаваемые такими приложениями, как редакторы кода и IDE (Integrated Development Environment – интегрированная среда разработки). Эти файлы настроены под вас, ваши конфигурации и ваши настройки, например папка .idea.
Файлы, которые автоматически генерируются языком программирования или средой разработки, которую вы используете для своего проекта, и в процессе компиляции специфичных для кода файлов, такие как файлы .o.
Папки, созданные диспетчерами пакетов, например, папка npm node_modules. Это папка, которая используется для сохранения и отслеживания зависимостей для каждого пакета, который вы устанавливаете локально.
Файлы, которые содержат конфиденциальные данные и личную информацию. Примерами таких файлов могут послужить файлы с вашими учетными данными (имя пользователя и пароль) и файлы с переменными среды, такие как файлы .env (файлы .env содержат ключи API, которые должны оставаться защищенными и закрытыми).
Файлы среды выполнения, такие как файлы .log. Они предоставляют информацию об использовании операционной системы и ошибках, а также историю событий, произошедших в рамках ОС.
Как игнорировать файл или папку в Git
Если вы хотите игнорировать только один конкретный файл, то вам необходимо указать полный путь к файлу из корневой папки проекта.
Например, если вы хотите игнорировать файл text.txt, который расположен в корневом каталоге, то вы должны сделать следующее:
/text.txt
А если вы хотите игнорировать файл text.txt, который расположен в папке test корневого каталоге, вы должны сделать следующее:
/test/text.txt
Вы можете это записать иначе:
test/text.txt
Если вы хотите игнорировать все файлы с определенным именем, то вам нужно написать точное имя файла.
Например, если вы хотите игнорировать любые файлы text.txt, то вы должны добавить в .gitignore следующее:
text.txt
В таком случае вам не нужно указывать полный путь к конкретному файлу. Этот шаблон будет игнорировать все файлы с таким именем, расположенные в любой папке проекта.
Для того, чтобы игнорировать весь каталог со всем его содержимым, вам нужно указать имя каталога со слешем в конце:
test/
Эта команда позволит игнорировать любой каталог (включая другие файлы и другие подкаталоги внутри каталога) с именем test, расположенный в любой папке вашего проекта.
Стоит отметить, что если вы напишете просто имя каталога без слеша, то этот шаблон будет соответствовать как любым файлам, так и любым каталогам с таким именем:
# соответствует любым файлам и каталогам с именем test
test
Что делать, если вы хотите игнорировать любые файлы и каталоги, которые начинаются с определенного слова?
Допустим, вы хотите игнорировать все файлы и каталоги, имя которых начинается с img. Для этого вам необходимо указать имя, а затем селектор подстановочного символа *:
img*
Эта команда позволит игнорировать все файлы и каталоги, имя которых начинается с img.
Но что делать, если вы хотите игнорировать любые файлы и каталоги, которые заканчиваются определенным набором символов?
Если вы хотите игнорировать все файлы с определенным расширением, то вам необходимо будет использовать селектор подстановочного знака *, за которым последует расширение файла.
Например, если вы хотите игнорировать все файлы разметки, которые заканчиваются расширением .md, то вы должны в файл .gitignore добавить следующее:
*.md
Этот шаблон будет соответствовать любому файлу с расширением .md, расположенному в любой папке проекта.
Мы разобрали, как игнорировать все файлы, которые оканчиваются одинаково. Но что делать, если вы хотите сделать исключение для одного из этих файлов?
Допустим, вы добавили в свой файл .gitignore следующее:
.md
Этот шаблон позволит игнорировать все файлы, оканчивающиеся на .md, но вы, например, не хотите, чтобы Git игнорировал файл README.md.
Для этого вам нужно будет воспользоваться шаблоном с отрицанием (с восклицательным знаком), чтобы исключить файл, который в противном случае был бы проигнорирован, как и все остальные:
# игнорирует все файлы .md
.md
# не игнорирует файл README.md
!README.md
Учитывая эти два шаблона в файле .gitignore, все файлы, оканчивающиеся на .md будут игнорироваться, кроме файла README.md.
Стоит отметить, что данный шаблон не будет работать, если вы игнорируете весь каталог.
Допустим, что вы игнорируете все каталоги test:
test/
И допустим, внутри папки test у вас есть файл example.md, который вы не хотите игнорировать.
В этом случае вы не сможете сделать исключение для файла внутри игнорируемого каталога следующим образом:
# игнорировать все каталоги с именем test
test/
# попытка отрицания файла внутри игнорируемого каталога не сработает
!test/example.md
Как игнорировать ранее закоммиченый файл
Лучше всего создать файл .gitignore со всеми файлами и различными шаблонами файлов, которые вы хотите игнорировать, при создании нового репозитория, до его коммита.
Git может игнорировать только неотслеживаемые файлы, которые еще не были зафиксированы в репозитории.
Что же делать, если вы уже закоммитили файл, но хотели бы, чтобы он все-таки не был закоммичен?
Допустим, что вы случайно закоммитили файл .env, в котором хранятся переменные среды.
Для начала вам необходимо обновить файл .gitignore, чтобы включить файл .env:
# добавить файл .env в .gitignore
echo ".env" >> .gitignore
Теперь, вам нужно указать Git не отслеживать этот файл, удалив его из перечня:
git rm --cached .env
Команда git rm вместе с параметром --cached удаляет файл из репозитория, но не фактический файл. Это значит, что файл остается в вашей локальной системе и в вашем рабочем каталоге в качестве файла, который игнорируется.
Команда git status покажет, что файла в репозитории больше нет, в ввод команды ls покажет, что файл существует в вашей локальной файловой системе.
Если вы хотите удалить файл из репозитория и вашей локальной системы, то не используйте параметр --cached.
Затем добавьте .gitignore в область подготовленных файлов с помощью команды git add:
git add .gitignore
И наконец, закоммитте файл .gitignore с помощью команды git commit:
git commit -m "update ignored files"
Заключение
Вот и все – теперь вы знаете, как игнорировать файлы и папки в Git.