GitLab如何配置防火墙规则 GitLab怎样限制仓库访问的IP地址

品牌型号：联想拯救者R7000

系统：Windows 10专业版

软件版本：JiHu GitLab 16.6

在代码开发时，很多公司都使用GitLab作为代码管理平台，如果是自己搭建的GitLab服务，那么安全性配置非常重要。我们需要合理设置防火墙规则，并且要限制仓库访问IP地址，防止服务器被恶意攻击造成代码泄露，从而保障代码安全。本文将为大家介绍GitLab如何配置防火墙规则，GitLab怎样限制仓库访问的IP地址的相关内容。

一、GitLab如何配置防火墙规则

在自建GitLab服务器中，一般都是使用Linux平台搭建服务，此处以CentOS系统为例，为大家介绍如何配置防火墙规则。CentOS系统中Firewalld是防火墙管理工具，通过区域（Zone）和服务（Service）的概念实现网络控制。针对GitLab的服务，需开放Web访问端口、SSH通信端口及内部组件交互端口，随着业务需求的增加，可能还需要开发其他端口，以下是详细步骤。

（一）CentOS Firewalld 基础配置逻辑

Firewalld支持永久规则与临时规则，通过区域策略定义不同网络环境下的访问权限。以下是GitLab服务所需的核心端口及配置步骤：

开放基础服务端口GitLab默认通过HTTP（80端口）、HTTPS（443端口）提供Web服务，若启用SSH还需开放22端口，我们可以执行以下四条命令添加永久规则，最后一条命令是重新加载命令：

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

sudo firewall-cmd --zone=public --add-port=443/tcp --permanent

sudo firewall-cmd --zone=public --add-port=22/tcp --permanent

sudo firewall-cmd –reload

说明：【--zone=public】表示规则应用于公共区域，【--permanent】表示规则在系统重启后生效，【--reload】使配置立即生效。

（二）自定义端口与复杂场景配置

如果GitLab部署在非默认端口（如8088），可以参考以下步骤：

1、修改GitLab的外部访问端口

在【/etc/gitlab/gitlab.rb】中设置【external_url http://xxxx:8088】.

2、单独放行该端口，执行以下放行端口命令：

sudo firewall-cmd --zone=public --add-port=8088/tcp --permanent

sudo firewall-cmd --reload

对于使用Docker容器部署GitLab，需在宿主机层面通过【docker run -p 80:80 -p 443:443】做端口映射，不需要在容器内配置防火墙，因为Docker的网络隔离机制可能导致容器内规则失效。

（三）检查规则

使用命令【systemctl status firewalld】查看Firewalld服务运行状态，下图中的【active】表示启动，使用【firewall-cmd --list-all】查看当前生效规则，下图红框内的为开放端口。

二、GitLab怎样限制仓库访问的IP地址

除防火墙外，GitLab自身也提供了访问控制功能，结合Nginx反向代理配置，我们可以实现IP地址限制，确保仅白名单的IP能够访问代码仓库。以下是具体实现方式：​

（一）通过Nginx配置实现IP访问控制​

Nginx作为GitLab的Web服务器，可在其配置中添加IP过滤规则，支持单个IP或CIDR网段的黑白名单设置：​

1、全局IP限制

编辑GitLab的Nginx配置文件，位于【/var/opt/gitlab/nginx/conf/gitlab-http.conf】），在【location /】块中添加下图所示的配置。

2、路径级过滤

如果要对API接口单独限制，可以参考下图红框部分的配置，指定api路径，并配置允许访问API的服务。

3、配置生效

修改后需重新加载Nginx配置，我们可以使用【sudo gitlab-ctl reconfigure】命令重新加载配置。​

三、总结

以上就是GitLab如何配置防火墙规则，GitLab怎样限制仓库访问的IP地址的相关内容。如果你也是使用centOS搭载的GitLab服务，可以参考上文步骤配置防火墙规则，开放指定端口，从而保护服务器安全。如果需要限制仓库访问ip，可以参考上文内容配置nginx文件，希望本文对你有所帮助。

署名：Hungry