По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В последнее время DevOps является одним из самых громких словечек в мире технологий, поскольку предлагает организации огромное количество преимуществ для сокращения жизненного цикла разработки программного обеспечения.
Что такое DevOps?
Нет единого определения или правильного ответа на вопрос «Что такое DevOps». DevOps (акроним от англ. development и operations) не является инструментом, технологией или какой-либо структурой; это больше философия и концепция. Это набор практик, сочетающий разработку программного обеспечения (Dev) и ИТ-операции (Ops), который помогает сократить жизненный цикл разработки системы и обеспечить непрерывную интеграцию и поставку с высоким качеством программного обеспечения.
Подробно про DevOps можно прочитать в нашей статье ”DevOps – это философия будущего: кто, что и как?” и в нашем разделе про него.
Преимущества DevOps
Улучшенное сотрудничество и общение
Ускоренная доставка программного обеспечения или продуктов
Постоянное снижение затрат
Улучшенный процесс
Ускоренное решение проблем
В мире DevOps нет ни одного волшебного инструмента, который бы соответствовал всем потребностям. Речь идет о выборе правильного инструмента, который соответствует потребностям организации. Давайте узнаем о них.
Что такое DevOps, что нужно знать и сколько получают DevOps - специалисты?
Инструменты DevOps
Планирование и сотрудничество
JIRA
JIRA - это один из популярных инструментов управления проектами, разработанный Atlassian, который используется для отслеживания проблем, ошибок и проектов. Это позволяет пользователю отслеживать проект и выпускать статус. Его можно легко интегрировать с другими продуктами Atlassian, такими как Bitbucket, в дополнение к другим инструментам DevOps, таким как Jenkins.
Slack
Slack - это бесплатный инструмент для совместной работы на основе облака, для групповой коммуникации и совместной работе в одном месте. Этот инструмент также можно использовать для обмена документами и другой информацией среди членов команды. Это также может быть легко интегрировано с другими инструментами, такими как GIT, Jenkins, JIRA и так далее. А еще Slack можно интегрировать с Asterisk
Zoom
Zoom - это платформа для веб-конференций и мгновенного обмена экранами. Вы можете общаться со своей командой через аудио или видео. Неважно, насколько велика ваша команда, Zoom способен принять до 1000 получателей на онлайн-встречу.
Clarizen
Clarizen - это программное обеспечение для совместной работы и управления проектами, которое помогает отслеживать проблемы, управлять задачами и управлять портфелем проектов. Clarizen легко настроить, и он имеет удобный интерактивный интерфейс пользователя.
Asana
Asana - это мобильное и веб-приложение, которое помогает командам эффективно и результативно организовывать, отслеживать и управлять своей работой. Он используется для отслеживания ежедневных командных задач и поддержки обмена сообщениями и общения в организации.
Управление исходным кодом
SVN
SVN - это централизованный инструмент контроля версий и исходного кода, разработанный Apache. SVN помогает разработчикам поддерживать разные версии исходного кода и вести полную историю всех изменений.
Git
Git - это распределенная система контроля версий, которая нацелена на скорость, целостность данных, поддержку распределенных, нелинейных рабочих процессов. Помимо управления исходным кодом, его также можно использовать для отслеживания изменений в любом наборе файлов.
Подробнее про Git
Bitbucket
Bitbucket - это веб-хостинговая платформа, разработанная Atlassian. Bitbucket также предлагает эффективную систему проверки кода и отслеживает все изменения в коде. Его можно легко интегрировать с другими инструментами DevOps, такими как Jenkins, Bamboo.
GitHub
GitHub - это платформа для размещения кода, предназначенная для контроля версий и совместной работы. Он предлагает все функции распределенного контроля версий и управления исходным кодом (SCM) в Git в дополнение к своим функциям.
GitHub предлагает функции контроля доступа и совместной работы, такие как отслеживание ошибок, создание функций и запросов, управление задачами и так далее.
Инструменты для сборки
Ant
Apache Ant - это инструмент для сборки и развертывания на основе Java с открытым исходным кодом. Он поддерживает формат файла XML. Он имеет несколько встроенных задач, позволяющих нам компилировать, собирать, тестировать и запускать приложения Java.
Maven
Maven - это инструмент для автоматизации сборки, который в основном используется для Java-проектов. Он содержит файл XML, в котором описывается создаваемый программный проект, его зависимости от других внешних компонентов и модулей, последовательность сборки, каталоги и другие необходимые подключаемые модули.
Подробно про Maven
Grunt
Grunt - это инструмент командной строки Javascript, который помогает создавать приложения и помогает разработчикам автоматизировать повторяющиеся задачи, такие как компиляция, модульное тестирование, кодирование кода, проверка и так далее. Это хорошая альтернатива для таких инструментов, как Make или Ant.
Gradle
Gradle - это система автоматизации сборки с открытым исходным кодом, основанная на концепциях Apache Maven и Apache Ant. Он поддерживает Groovy правильный язык программирования вместо XML-файла конфигурации. Он предлагает поддержку добавочных сборок, автоматически определяя, какие части сборки обновлены.
Управление конфигурацией
Puppet
Puppet - это инструмент управления конфигурацией с открытым исходным кодом, используемый для настройки, развертывания и управления многочисленными серверами. Этот инструмент поддерживает концепцию инфраструктуры как кода и написан на Ruby DSL. Он также поддерживает динамическое масштабирование машин по мере необходимости.
Подробно про Puppet, его плюсы и минусы и примеры использования
Chef
Chef - это инструмент управления конфигурацией с открытым исходным кодом, разработанный Opscode с использованием Ruby для управления инфраструктурой на виртуальных или физических машинах. Он также помогает в управлении сложной инфраструктурой на виртуальных, физических и облачных машинах.
Подробно про Chef и его плюсы и минусы
Ansible
Ansible - это инструмент для управления ИТ-конфигурацией с открытым исходным кодом, обеспечения программного обеспечения, оркестровки и развертывания приложений. Это простой, но мощный инструмент для автоматизации простых и сложных многоуровневых ИТ-приложений.
Подробно про Ansible и его плюсы и минусы
SaltStack
SaltStack - это программное обеспечение с открытым исходным кодом, написанное на python и использующее push-модель для выполнения команд по протоколу SSH. Он предлагает поддержку как горизонтального, так и вертикального масштабирования. Он поддерживает шаблоны YAML для записи любых скриптов.
Terraform
Terraform - это инструмент с открытым исходным кодом для безопасного, эффективного построения, изменения, развертывания и управления версиями инфраструктуры. Он используется для управления существующими и популярными поставщиками услуг, а также для создания собственных решений. Это помогает в определении инфраструктуры в конфиге или коде и позволит пользователю легко перестраивать или изменять и отслеживать изменения в инфраструктуре.
Vagrant
Vagrant является одним из популярных инструментов для создания и управления виртуальными машинами (VM). Он имеет простой в использовании и настраиваемый рабочий процесс, ориентированный на автоматизацию. Это помогает сократить время настройки среды разработки, увеличивает производственный паритет.
Подробно про Vagrant
Непрерывная интеграция
Jenkins
Jenkins является одним из самых популярных инструментов DevOps с открытым исходным кодом для поддержки непрерывной интеграции и доставки через DevOps. Это позволяет осуществлять непрерывную интеграцию и непрерывную доставку проектов независимо от того, над чем работают пользователи платформы, с помощью различных конвейеров сборки и развертывания. Jenkins можно интегрировать с несколькими инструментами тестирования и развертывания.
Подробно про Jenkins
Travis CI
Travis CI - это облачная распределенная платформа непрерывной интеграции, используемая для создания и тестирования проектов, размещенных на GitHub и Bitbucket. Это настраивается путем добавления файла YAML. Его можно протестировать бесплатно для проектов с открытым исходным кодом и на платной основе для частного проекта.
Bamboo
Bamboo является одним из популярных продуктов, разработанных Atlassian для поддержки непрерывной непрерывной интеграции. Его большая часть функциональности предварительно встроена, что означает, что нам не нужно загружать различные плагины, такие как Jenkins. Он также поддерживает плавную интеграцию с другими продуктами Atlassian, такими как JIRA и Bitbucket.
Hudson
Hudson - это свободное программное обеспечение, написанное на JAVA и работающее в контейнере сервлетов, например, GlassFish и Apache Tomcat. Он обеспечивает возможность запуска вашего пакета автоматизации с любыми изменениями в соответствующей системе управления исходными кодами, такими как GIT, SVN и так далее. Он также обеспечивает поддержку всех базовых проектов maven и Java.
TeamCity
TeamCity - это непрерывная интеграция на основе сервера, которая создает инструмент управления, разработанный JetBrains. Он имеет простой и удобный пользовательский интерфейс (UI) и обеспечивает прогресс сборки, детализирует информацию о сборке и хронологическую информацию для всех конфигураций и проектов.
CircleCI
CircleCI доступен как в виде облачных, так и локальных решений для непрерывной интеграции. Запускать и поддерживать легковесные и легкочитаемые конфигурации YAML просто и быстро.
Непрерывная безопасность
Snyk
Интегрируйте Snyk в жизненный цикл разработки, чтобы автоматически находить и исправлять уязвимости безопасности с открытым исходным кодом. Он поддерживает JS, .Net, PHP, NPM, jQuery, Python, Java и так далее, и может быть интегрирован в кодирование, управление кодом, CI/CI, контейнер и развертывание. Snyk имеет самую большую базу уязвимостей с открытым исходным кодом
Netsparker
Netsparker автоматически сканирует ваше приложение на наличие уязвимостей и предоставляет действенные секретные отчеты, чтобы вы могли действовать в соответствии с приоритетом. Сценарий безопасности DevOps заключается в проверке нового коммита и сообщении об ошибке непосредственно в систему отслеживания, например, Jira или GitHub, и повторном сканировании после исправления разработчиком. Вы видите, что это интегрируется на каждом этапе SDLC (Software Development Life Cycle - жизненный цикл разработки).
Тестирование
Selenium
Selenium - самый популярный инструмент для тестирования с открытым исходным кодом. Он поддерживает автоматизацию тестирования в различных браузерах и операционных системах. Его легко интегрировать с инструментами управления тестированием, такими как ALM, JIRA, а также с другими инструментами DevOps, такими как Jenkins, Teamcity, Bamboo и так далее.
TestNG
TestNG - это среда тестирования с открытым исходным кодом, разработанная и вдохновленная Junit и Nunit. Ее можно легко интегрировать с веб-драйвером selenium для настройки и запуска сценариев автоматизации тестирования. Она также генерирует различные отчеты о тестировании, такие как HTML или XSLT.
JUnit
JUnit - это инфраструктура модульного тестирования с открытым исходным кодом, используемая разработчиками для написания и запуска повторяющихся тестов. JUnit поддерживает различные аннотации тестов, с помощью которых любой разработчик может написать цельный тестовый блок. Его легко интегрировать с другими инструментами DevOps, такими как Jenkins, GIT и так далее.
Мониторинг
Nagios
Nagios - это открытый исходный код и один из самых популярных инструментов для непрерывного мониторинга. Nagios помогает отслеживать системы, приложения, услуги и бизнес-процессы в культуре DevOps. Он предупреждает пользователей, когда что-то не так с инфраструктурой, и предупреждает их, когда проблема решена.
Подробно про Nagios
Grafana
Grafana - это аналитическая платформа с открытым исходным кодом, позволяющая отслеживать все показатели инфраструктуры, приложений и аппаратных устройств. Вы можете визуализировать данные, создавать и совместно использовать панель инструментов, настраивать оповещения. Вы можете получать данные из более чем 30 источников, включая Prometheus, InfluxDB, Elasticsearch, AWS CloudWatch и так далее.
Sensu
Sensu - это инструмент для мониторинга с открытым исходным кодом, написанный на Ruby, который помогает просто и эффективно контролировать серверы, сервисы, приложения, облачную инфраструктуру. Его легко масштабировать, чтобы вы могли легко отслеживать тысячи серверов.
New Relic
New Relic - это программный аналитический продукт для мониторинга производительности приложений (APM - Application Performance Monitoring), который предоставляет в реальном времени трендовые данные о производительности веб-приложений и уровне удовлетворенности, которое испытывают конечные пользователи. Он поддерживает сквозную трассировку транзакций и отображает их с помощью различных цветовых диаграмм, графиков и отчетов.
Datadog
Datadog - это инструментальный инструмент метрики сервера. Он поддерживает интеграцию с различными веб-серверами, приложениями и облачными серверами. Его сервисная панель предоставляет различные графики мониторинга в реальном времени по всей инфраструктуре.
ELK
ELK - это коллекция из трех продуктов с открытым исходным кодом - Elasticsearch, Logstash и Kibana, которые разрабатываются, управляются и поддерживаются компанией Elastic. Он позволяет пользователям получать данные из любого источника в любом формате, а затем искать, анализировать и визуализировать эти данные в режиме реального времени.
Облачный хостинг
AWS
AWS - это веб-хостинговая платформа, созданная Amazon, которая предлагает гибкие, надежные, масштабируемые, простые в использовании, масштабируемые и экономически эффективные решения. Используя эту облачную платформу, нам не нужно беспокоиться о настройке ИТ-инфраструктуры, которая обычно занимает достаточно много времени.
Azure
Azure - это платформа облачных вычислений, разработанная Microsoft для создания, развертывания, тестирования и управления приложениями и службами через глобальную сеть своих центров обработки данных. Службы, предоставляемые Microsoft Azure, представлены в форме PaaS (платформа как услуга) и IaaS (инфраструктура как услуга).
GCP
Google Cloud - это полный набор услуг облачного хостинга и вычислений, предлагаемых Google. Он поддерживает широкий спектр услуг для вычислений, хранения и разработки приложений, которые используют Google Hardware.
Контейнеры и оркестровка
Docker
Docker - это инструмент для создания, развертывания и запуска приложений с использованием контейнеров. Этот контейнер позволяет разработчику упаковывать приложение со всеми необходимыми ему компонентами и подкомпонентами, такими как библиотеки и другие зависимости, и отправлять все это в виде одного пакета.
Подробно про Docker, Docker Compose и Docker Swarm
Kubernetes
Kubernetes - это система контейнерной оркестрации с открытым исходным кодом, изначально разработанная Google, и в настоящее время она поддерживается Cloud Native Computing Foundation. Он используется для автоматизации развертывания, масштабирования и управления приложениями. Он работает с другими инструментами-контейнерами, включая Docker.
Подробно про Kubernetes и сравнение Kubernetes c Docker
Сегодня хотим рассказать про любопытный сценарий, которой наверняка может быть полезен в сфере E-commerce. Речь пойдет про автоматизацию клиентского обслуживания, а именно:
/p>
Клиент звонит в интернет – магазин и ему предлагают ввести номер заказа;
Введенные абонентом значения по DTMF передаются в AGI скрипт;
По номеру заказа, мы формируем SQL – запрос к базе данных, где храним информацию о заказах. Из соответствующей таблицы мы получаем статус заказа и имя клиента;
Мы формируем строку, которую необходимо озвучить клиенту и отправляем ее на аудио-генерацию в сторону API Yandex.SpeechKit (TTS технология – text to speech);
Получаем аудио файл от Yandex, декодируем его в нужный нам формат (.wav, 8k) и воспроизводим клиенту;
Удаляем воспроизведенный файл и завершаем звонок клиента;
На наш взгляд это любопытная автоматизация. Приступаем к настройке? :)
Получение API - токена Yandex.SpeechKit
Для знакомства с технологией Яндекс предоставляет бесплатный тестовый период в 1 месяц с момента отправки первого запроса. После этого, чтобы продолжить использование Yandex. SpeechKit Cloud нужно заключить договор. Подробности условия использования можно прочитать здесь.
Первым делом перейдите в кабинет разработчика по ссылке https://developer.tech.yandex.ru и нажмите Получить ключ:
Имя ключа - введите имя для ключа. Например, Asterisk + TTS;
Подключение - выберите из списка SpeechKit Cloud;
Запоминаем значение, которое выделено красным на скриншоте выше – это и есть ваш токен. Переходим к настройке AGI – скрипта.
Создаем таблицу с заказами
Создадим SQL – таблицу, в которой будем хранить данные о заказах. В лабораторных целях, мы развернем ее на том же хосте, что и IP – АТС Asterisk (+ это снизит задержку и процессинг по времени). Итак, вводим следующие команды в консоли сервера (предварительно подключитесь по SSH):
use asteriskcdrdb;
CREATE TABLE zakazy(name varchar(20),phone varchar(20),nomerzakaza varchar(20),status varchar(20));
INSERT INTO zakazy (name, phone, nomerzakaza, status) VALUES ("Александр", "79257777777", 300388, "Отправлен");
INSERT INTO zakazy (name, phone, nomerzakaza, status) VALUES ("Иван", "79251111111", 476656, "Оплачен");
INSERT INTO zakazy (name, phone, nomerzakaza, status) VALUES ("Сергей", "79252222222", 0089822, "Доставлен");
Мы создали и наполнили таблицу. Теперь необходимо создать пользователя, который сможет иметь SELECT – доступ к таблице:
CREATE USER 'логин_mysql'@'localhost' IDENTIFIED BY 'пароль_mysql';
GRANT SELECT ON asteriskcdrdb.zakazy TO 'логин_mysql';
Запомните ваш логин и пароль и переходите к следующему шагу – адаптации скрипта AGI. Традиционно, комментарии к коду после двойного слеша //:
AGI - скрипт
Ниже представлена структура скрипта:
#!/usr/bin/php -q
<?php
error_reporting(0);
require('phpagi.php');
$agi = new AGI();
$result = $agi->get_data('custom/generate', 6000, 10); //принимаем DTMF от клиента;
$number= $result['result']; //записываем в переменную введенный клиентом номер заказа;
$hostname = "localhost"; // у нас localhost. У вас может быть IP адрес сервера, на котором хранится БД с заказами (настройте предварительно pg_hba.conf на удаленном хосте);
$username = "логин_mysql"; // логин, который вы создали этапом ранее;
$password = "пароль_mysql"; // пароль, который вы создали этапом ранее;
$dbName = "asteriskcdrdb";
mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение ");
mysql_select_db($dbName) or die(mysql_error());
$query = "SELECT * FROM zakazy WHERE `nomerzakaza`='$number';"; // подключаемся и парсим данные по номеру заказа;
$res=mysql_query($query) or die(mysql_error());
while ($row = mysql_fetch_assoc($res)) {
$status = $row['status'];
$name = $row['name']; // имя и статус, полученные из SQL пишем в переменные;
};
$str = 'Дорогой '.$name.'! Статус вашего заказа '.$status.' Спасибо за обращение, всего доброго!'; // формируем строку, которую необходимо синтезировать;
$qs = http_build_query(array("format" => "wav","lang" => "ru-RU","speaker" => "jane","key" => "ваш_токен","emotion" => "good", "text" => $str)); //описываем переменные, которые будем отправлять в сторону API Яндекса. Вы можете регулировать формат файла, локаль, спикера (мужской или женский голоса) и эмоциональный окрас. Заменить "ваш_токен" на ключ, полученный от API Yandex. SpeechKit Cloud;
$ctx = stream_context_create(array("http"=>array("method"=>"GET","header"=>"Referer:
")));
$soundfile = file_get_contents("https://tts.voicetech.yandex.net/generate?".$qs, false, $ctx);
$file = fopen("file1.wav", "w");
fwrite($file, $soundfile);
fclose($file); // получаем аудио файл (сохраняем его как file1.wav);
shell_exec('sox -t raw -r 48k -e signed-integer -b 16 -c 1 file1.wav -t wav -r 8k -c 1 /var/lib/asterisk/sounds/ru/custom/output1.wav'); // выполняем преобразование аудио в нужный для Asterisk аудио-формат и копируем его в директорию /var/lib/asterisk/sounds/ru/custom/;
shell_exec('chown asterisk:asterisk /var/lib/asterisk/sounds/ru/custom/output1.wav');
shell_exec('chmod 775 /var/lib/asterisk/sounds/ru/custom/output1.wav'); // даем файлу нужные пермишны;
$agi->exec('Playback',"custom/output1"); // передаем в AGI команду проиграть полученный аудио – файл;
shell_exec('rm -f /var/lib/asterisk/sounds/ru/custom/output1.wav');
shell_exec('rm -f file1.wav'); // удаляем оба файла;
Скачать скрипт AGI
После загрузки файла, сохраните его с расширением .php
Сохраните скрипт под именем tts.php в директории /var/lib/asterisk/agi-bin и дайте следующие команды в консоль сервера:
dos2unix /var/lib/asterisk/agi-bin/tts.php
chown asterisk:asterisk /var/lib/asterisk/agi-bin/tts.php
chmod 775 /var/lib/asterisk/agi-bin/tts.php
Адаптируем функционал в «продакшн»
Итак, первым делом, открываем файл /etc/asterisk/extensions_custom.conf для редактирования и добавляем в него следующую запись:
[tts_menu]
exten => s,1,Answer()
exten => s,2,AGI(tts.php)
Очень хорошо. Сделаем вызов кастомного контекста из FreePBX. Для этого воспользуемся модулем Custom Destinations. Переходим по пути Admin → Custom Destinations и нажимаем Add Destination:
Нажимаем Submit и Apply Config. Мы хотим чтобы из главного IVR – меню клиент при нажатии 4 мог бы узнать статус своего заказа. Переходим в главный IVR и в секции IVR Entries добавляем следующее:
Готово. Если что – либо не получилось, напишите нам в комментариях, постараемся помочь :)
Фаервол на Микротике основан на базе принципов iptables в Linux позволяет фильтровать входящий и исходящий трафик по определенным правилам. В статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. Погнали!
Общее представление
Основная идея любого фаервола это определение того, что разрешено и запрет всего остального. Так работают все современные инструменты фильтрации. При наличии фаервола, сеть можно разделить на ненадежные, полу - надежные и надежные.
Firewall Chains
Цепочки (последовательности) фаерволов сопоставляют по своим правилам входящий и исходящий с интерфейса трафик. После того, как трафик попал под определенное правило («сматчился»), вы можете совершать определенные манипуляции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. В Mikrotik есть следующие флаги: Input, Output и Forward.
Input Chain
Input матчит входящий на интерфейсы маршрутизатора трафик. Условно говоря – это прилетающие на роутера IP - пакеты. Обычная практика – дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. Помимо этого, многие блокируют входящий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN – остальные дропаются).
Всегда используйте VLAN – это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности.
Output Chain
Как можно догадаться по названию, данный инструмент направлен на фильтрацию исходящего от роутера трафика. Здесь можно блокировать запросы, исходящие непосредственно с роутера: например, DNS или ICMP запрос с роутера.
Forward Chain
Самое интересное – данный инструмент «матчит» трафик проходящий через Mikrotik с одного интерфейса на другой. Пример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. Пакет прилетает на внутренний интерфейс, а выходит через WAN.
Firewall Actions
Правила на фаерволе могут делать множество вещей, основные из которых: accept (принять), drop (сбросить) и отклонить (reject).
Accept
Данное правило позволяет просто «пропустить» проходящий через фаервол трафик. Никакой модификации или изменения маршрута – пакету будет позволено продолжить свой изначальный путь.
Reject
Фаервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. При этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке.
В данном методе есть один весомый минус: в случае, если злоумышленник попробует «сканировать» порты или совершить другой вид атаки – отправленные в его сторону REJECT сообщения лишь помогут ему в злодеяниях. Поэтому, в целях безопасности, мы рекомендуем использовать DROP.
Drop
Данное правило «дропает» пакет без отправления уведомления об этом источнику. Этот метод наиболее безопасен на этапе защиты своего Mikrotik от сканирования портов и прочих атак.
Firewall Rules
Правила Firewall определяют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены. Каждое правило – это комбинация параметров IP – адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций. Как мы говорили ранее – хорошо настроенный фаервол пропустит только необходимый для бизнеса трафика, дав запрет на пропуск всего остального потока трафика. Указывая набор разрешающих правил, всегда замыкайте их на конце строчкой «DENY ALL» (запретить все).
Chains
Каждое создаваемое правило назначается определенной цепочке (chain). После определения принадлежности к цепочке, пакеты проходят проверку через последовательность правил в порядке убывания (сверху вниз).
Порядок правил в фаерволе играет важную роль! Поэтому, от последовательности проверки зависит эффективность фильтрации.
Actions
Правило отрабатывает по одному из основных действий: принять (accept), отклонить (reject) и отбросить (drop). Выше мы подробнее рассказывали про каждое из указанных действий.
Адресация
Нашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP – адрес (это может быть как хост с /32 маской, так и целая подсеть с /24, например). Помимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE).
Комментарии
Создавая правила комментируйте их. Это важно, как и при программировании – код без комментариев очень сложно анализировать и понимать в будущем.
Советы
Хотим так же поделиться парой полезных советов по настройке Firewall:
Разрешайте только необходимый для работы трафик - да, это сложно. Но методом проб и ошибок мы рекомендуем добиться той настройки фаервола, в рамках которой все ваши подключения будут ясны и понятны.
Подключения только с определенного пула адресов - это может быть удаленный офис, IP – адреса ЦОД или VPN адресация. Тут нужно быть особенно бдительным.
В конце правил всегда используйте «deny all» - после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен – в конце цепочки добавьте правило запрета всего. Это будет означать, дословно: «Все, что не разрешено - запрещено».
Атакуйте свою сеть! - да, да, вы не ослышались. Конечно, без фанатизма :) Мы предлагаем периодически сканировать порты на вашем фаерволе. Например, это можно делать с помощью утилиты исследования сети Nmap.