Настройка дополнительных компонентов

Межсетевой экран

Во всех наших установщиках в конце выводится сообщение с примером конфигурации межсетевого экрана. Данный пример не рекомендуется использовать в производственной среде, только для тестовой среды.

Для тестовой среды достаточно будет разрешить доступ по порту отовсюду, например, чтобы разрешить доступ к OpenSearch-Dashboards в командной строке от пользователя root надо ввести:

firewall-cmd --add-port=5601/tcp

Это правило будет работать до перезагрузки сервиса firewalld или перезагрузки ОС. Чтобы сделать правило постоянным, надо изменить команды:

firewall-cmd –-permanent –add-port=5601/tcp firewall-cmd --reload

Можно создать сервис в терминологии firewalld, но на практике не совсем удобно будет его использовать для Smart Monitor.

Для производственной среды мы рекомендуем создавать отдельную зону в терминологии firewalld, и в ней создать правило на разрешение портов. Фильтром доступа к зоне может являться коллекция IP-адресов (ipset), или интерфейс, если он находится полностью в доверенной зоне.

Если используете в вашей среде iptables вместо firewalld (предполагаем, что у вас отключен firewalld), то для тестовой среды достаточно будет прописать:

iptables -A INPUT -s 0.0.0.0/0 -p TCP --dport 5601 -j ACCEPT

Данная команда откроет для всех порт 5601/tcp, но команда добавится в конец списка. Если используется запрещающее правило в конце, то лучше добавить правило в начало (в примере добавляем вместо первой строки):

iptables -I INPUT 1 -s 0.0.0.0/0 -p TCP --dport 5601 -j ACCEPT