Go get — connection refused, какие порты открывать?

Question

[midia21]

Поставили задачу, для одной компании разработать проект. По некоторым обстоятельствам разработка может осуществляться только на их выделенном виртуально сервере. На сервере все запросы наружу закрыты)) Открыть определенные порты на определенные ip можно только подав запрос в отдел безопасности. Проект на golang - поэтому нужна возможность качать зависимости через github/gitlab, какие порты нужно открывать? Вроде открыли 80 и 443, но зависимости все ровно не скачиваются((

Заранее спасибо.

Comments

[FanatPHP]

Что значит "разработка может осуществляться только на их выделенном виртуально сервере"? Через удалённый рабочий стол что ли?

[Михаил Р.]

Вроде открыли 80 и 443
Вероятно, 80 и 443 уже кто то крышует, попробуйте другой.

[Александр Фалалеев]

Igor Borisov,

Как это на сервере все запросы наружу закрыты? Что то перемудрили с ограничениями,

Если ИБ-ик не параноик, то он плохой ИБ-ик !

[Александр Павлюк]

Вам там точно открыли порты на выход, а не на вход?

Answer 1

[ky0]

Помимо HTTP(S), нужно как-то отрезолвить хосты, с которых предполагается скачивание - это ещё, как минимум, DNS.

Вообще, по-хорошему, это не ваше дело - разбираться, чего не хватает. Нормальный ИБ-отдел должен понимать задачи, сформулированные человеческим языком, вроде "мне нужно мочь скачивать информацию из интернета по HTTP, конкретно - зависимости для проекта из репозиториев".

Answer 2

[uvelichitel]

Go get под капотом использует git.
git в качестве транспорта умеет использовать:

• http - 80
  
• https - 443
  
• собственный протокол git - 9418
  
• ssh - по умолчанию 22, но часто для безопасности меняют на кастомный(например 2222)
  

Для связи протоколами git и ssh вы ещё должны иметь пару rsa ключей -- приватный у себя и публичный на git сервере.

Answer 3

[Everything_is_not_so_bad]

Это неверный подход и с точки зрения ИБ и разворачивания ПО.
Для доступа к конечному серверу на Linux и разворачивания новых версий на нем достаточно лишь открытого порта для SSH, причем, необязательно 22. А собирать приложения стоит на отдельном сервере для сборки (негоже продакшн засорять всякими системами сборки). Это называется CI/CD. Ну или, хоть, на своем компьютере собирай, где хоть все порты открыты.
При использовании внешних хранилищ для скачивания артефактов сборки типа Docker Hub или AWS ECR требуется еще и открытый порт наружу 443 на хранилище.