Πώς να εγκαταστήσετε, να ρυθμίσετε και να χρησιμοποιήσετε το Firewall σε CentOS και Ubuntu


Το firewalld (daemon τείχους προστασίας) αποτελεί εναλλακτική λύση για την υπηρεσία iptables , για τη δυναμική διαχείριση του τείχους προστασίας του συστήματος με υποστήριξη για ζώνες δικτύου (ή τείχους προστασίας) και παρέχει διεπαφή D-Bus για τη διαχείριση συνθέσεων. Είναι εύκολο στη χρήση και ρύθμιση παραμέτρων και είναι πλέον το προεπιλεγμένο εργαλείο διαχείρισης τείχους προστασίας στα RHEL/CentOS , Fedora και σε πολλές άλλες διανομές Linux.

Σε αυτό το άρθρο, θα συζητήσουμε πώς να ρυθμίσουμε το τείχος προστασίας του συστήματος με firewall και να εφαρμόσουμε βασικό φιλτράρισμα πακέτων σε CentOS/RHEL 7 και Ubuntu .

Τα βασικά σχετικά με το τείχος προστασίας

Το Firewall αποτελείται από τρία επίπεδα, τα οποία είναι:

  • core layer: responsible for handling the configuration and the back ends (listed below).
  • D-Bus interface: the primary means of changing and creating the firewall configuration.
  • backends: for interacting with netfilter (the native kernel module used for firewalling). They include iptables, ip6tables, ebtables, ipset, nft, linnftables; networkmanager; and modules.

Διαχειρίζεται τους κανόνες τείχους προστασίας μέσω της εφαρμογής ζωνών δικτύου/τείχους προστασίας που καθορίζουν το επίπεδο εμπιστοσύνης των συνδέσεων ή διεπαφών δικτύου. Άλλες υποστηριζόμενες λειτουργίες τείχους προστασίας περιλαμβάνουν υπηρεσίες, άμεση διαμόρφωση (χρησιμοποιείται για την απευθείας μετάφραση πρώτης σύνταξης iptables), IPSets καθώς και τύποι ICMP.

Δύο είδη περιβαλλόντων διαμόρφωσης υποστηρίζονται από το firewall:

  • runtime configuration which is only effective until the machine has been rebooted or the firewalld service has been restarted
  • permanent configuration which is saved and works persistently.

Το εργαλείο γραμμής εντολών firewall-cmd χρησιμοποιείται για τη διαχείριση του χρόνου εκτέλεσης και μόνιμης διαμόρφωσης. Εναλλακτικά, μπορείτε να χρησιμοποιήσετε το εργαλείο ρύθμισης παραμέτρων του γραφικού περιβάλλοντος εργασίας (GUI) του firewall-config για να αλληλεπιδράσετε με τον δαίμονα.

Επιπλέον, το firewall προσφέρει μια καλά καθορισμένη διεπαφή για άλλες τοπικές υπηρεσίες ή εφαρμογές, για να ζητήσετε απευθείας αλλαγές στους κανόνες του τείχους προστασίας, εάν εκτελούνται με προνόμια root.

Το παγκόσμιο αρχείο ρυθμίσεων για το firewalld βρίσκεται στη διεύθυνση /etc/firewalld/firewalld.conf και οι λειτουργίες τείχους προστασίας έχουν ρυθμιστεί σε μορφή XML.

Κατανόηση σημαντικών λειτουργιών Firewall

Το κεντρικό χαρακτηριστικό του τείχους προστασίας είναι οι ζώνες δικτύου/τείχους προστασίας. Κάθε άλλη λειτουργία περιορίζεται σε μια ζώνη. Μια ζώνη τείχους προστασίας περιγράφει το επίπεδο εμπιστοσύνης για σύνδεση, διασύνδεση ή σύνδεση πηγής.

Η προεπιλεγμένη διαμόρφωση περιλαμβάνει έναν αριθμό προκαθορισμένων ζωνών που έχουν ταξινομηθεί σύμφωνα με το προεπιλεγμένο επίπεδο εμπιστοσύνης των ζωνών από αξιόπιστες σε αξιόπιστες: drop, block, public, external, dmz, work, home, internal και αξιόπιστες. Αυτές ορίζονται σε αρχεία που είναι αποθηκευμένα κάτω από τον κατάλογο /usr/lib/firewalld/zones .

Μπορείτε να διαμορφώσετε ή να προσθέσετε τις προσαρμοσμένες ζώνες χρησιμοποιώντας τον πελάτη CLI ή απλά να δημιουργήσετε ή να αντιγράψετε ένα αρχείο ζώνης σε /etc/firewalld/zones από υπάρχοντα αρχεία και να το επεξεργαστείτε.

Μια άλλη σημαντική έννοια κάτω από το firewall είναι οι υπηρεσίες. Μια υπηρεσία καθορίζεται χρησιμοποιώντας θύρες και πρωτόκολλα. αυτοί οι ορισμοί αντιπροσωπεύουν μια δεδομένη υπηρεσία δικτύου όπως ένας διακομιστής ιστού ή μια υπηρεσία απομακρυσμένης πρόσβασης. Οι υπηρεσίες ορίζονται σε αρχεία που είναι αποθηκευμένα στον κατάλογο /usr/lib/firewalld/services/ ή /etc/firewalld/services/.

Εάν γνωρίζετε βασικές ιδέες iptables/ip6tables/ebtables, μπορείτε επίσης να χρησιμοποιήσετε την άμεση διασύνδεση (ή διαμόρφωση) για να αποκτήσετε άμεση πρόσβαση στο τείχος προστασίας. Όμως, για όσους δεν έχουν γνώση iptables, μπορείτε να χρησιμοποιήσετε την πλούσια γλώσσα για τη δημιουργία πιο πολύπλοκων κανόνων firewall για IPv4 και IPv6.

Πώς να εγκαταστήσετε το πακέτο τείχους προστασίας στο Linux

Στο CentOS 7 , το πακέτο firewall έρχεται προεγκατεστημένο και μπορείτε να επαληθεύσετε χρησιμοποιώντας την ακόλουθη εντολή.

$ rpm -qa firewalld

Στις Ubuntu 16.04 και 18.04 , μπορείτε να το εγκαταστήσετε χρησιμοποιώντας τον προεπιλεγμένο διαχειριστή πακέτων όπως φαίνεται.

$ sudo apt install firewalld

Πώς να διαχειριστείτε την υπηρεσία Firewall σε Linux

Το Firewall είναι μια κανονική υπηρεσία που μπορεί να διαχειριστεί μέσω της εντολής systemctl.

 
$ sudo systemctl start firewalld	#start the service for the mean time
$ sudo systemctl enable firewalld	#enable the service to auto-start at boot time
$ sudo systemctl status firewalld	#view service status

Αφού ξεκινήσετε την υπηρεσία firewall , μπορείτε επίσης να ελέγξετε αν ο δαίμονας εκτελείται ή όχι, χρησιμοποιώντας το εργαλείο firewall-cmd (αν δεν είναι ενεργό, τρέξιμο").

$ sudo firewall-cmd --state

Εάν συμβεί να αποθηκεύσετε οποιεσδήποτε αλλαγές μόνιμα, μπορείτε να φορτώσετε ξανά το firewall. Αυτό θα επαναφέρει τους κανόνες του τείχους προστασίας και θα κρατήσει πληροφορίες κατάστασης. Η τρέχουσα μόνιμη διαμόρφωση θα γίνει νέα διαμόρφωση χρόνου εκτέλεσης.

$ sudo firewall-cmd --reload

Πώς να εργαστείτε με ζώνες τείχους προστασίας στο Firewall

Για να λάβετε μια λίστα με όλες τις διαθέσιμες ζώνες και υπηρεσίες τείχους προστασίας, εκτελέστε αυτές τις εντολές.

$ sudo firewall-cmd --get-zones
$ sudo firewall-cmd --get-services

Η προεπιλεγμένη ζώνη είναι η ζώνη που χρησιμοποιείται για κάθε λειτουργία τείχους προστασίας που δεν περιορίζεται ρητά σε άλλη ζώνη. Μπορείτε να εκτελέσετε την προκαθορισμένη ζώνη για τις συνδέσεις δικτύου και τις διεπαφές.

$ sudo firewall-cmd --get-default-zone

Για να ορίσετε την προεπιλεγμένη ζώνη, για παράδειγμα την εξωτερική, χρησιμοποιήστε την ακόλουθη εντολή. Σημειώστε ότι η προσθήκη της επιλογής - μόνιμη ορίζει τη διαμόρφωση μόνιμα (ή επιτρέπει την αναζήτηση πληροφοριών από το μόνιμο περιβάλλον διαμόρφωσης).

$ sudo firewall-cmd --set-default-zone=external
OR
$ sudo firewall-cmd --set-default-zone=external --permanent
$ sudo firewall-cmd --reload 

Στη συνέχεια, ας δούμε πώς να προσθέσετε μια διεπαφή σε μια ζώνη. Αυτό το παράδειγμα δείχνει πώς μπορείτε να προσθέσετε τον προσαρμογέα ασύρματου δικτύου ( wlp1s0 ) στο σπίτι της ζώνης, ο οποίος χρησιμοποιείται στις οικιακές περιοχές.

$ sudo firewall-cmd --zone=home --add-interface=wlp1s0

Μια διεπαφή μπορεί να προστεθεί σε μία μόνο ζώνη. Για να το μετακινήσετε σε άλλη ζώνη, χρησιμοποιήστε το διακόπτη - change interface όπως φαίνεται ή αφαιρέστε το από την προηγούμενη ζώνη χρησιμοποιώντας το διακόπτη -remove-interface στη νέα ζώνη.

Υποθέτοντας ότι θέλετε να συνδεθείτε σε ένα δημόσιο δίκτυο WI-FI, θα πρέπει να μετακινήσετε την ασύρματη διεπαφή σας πίσω στη δημόσια ζώνη, όπως αυτή:

$ sudo firewall-cmd --zone=public --add-interface=wlp1s0
$ sudo firewall-cmd --zone=public --change-interface=wlp1s0

Μπορείτε να χρησιμοποιήσετε πολλές ζώνες ταυτόχρονα. Για να λάβετε μια λίστα με όλες τις ενεργές ζώνες με τις ενεργοποιημένες λειτουργίες όπως διεπαφές, υπηρεσίες, θύρες, πρωτόκολλα, τρέξτε:

$ sudo firewall-cmd --get-active-zones

Σε σχέση με το προηγούμενο σημείο, εάν θέλετε να βρείτε περισσότερες πληροφορίες σχετικά με μια συγκεκριμένη ζώνη, δηλ. Τα πάντα που προστίθενται ή ενεργοποιούνται σε αυτήν, χρησιμοποιήστε μία από αυτές τις εντολές:

$ sudo firewall-cmd --zone=home --list-all
OR
$ sudo firewall-cmd --info-zone public

Μια άλλη χρήσιμη επιλογή είναι - get-target , που σας δείχνει τον στόχο μιας μόνιμης ζώνης. Ένας στόχος είναι ένας από τους εξής: προεπιλογή, ACCEPT, DROP, REJECT. Μπορείτε να ελέγξετε τον στόχο των διαφόρων ζωνών:

$ sudo firewall-cmd --permanent --zone=public --get-target  
$ sudo firewall-cmd --permanent --zone=block --get-target  
$ sudo firewall-cmd --permanent --zone=dmz --get-target  
$ sudo firewall-cmd --permanent --zone=external --get-target
$ sudo firewall-cmd --permanent --zone=drop --get-target

Πώς να ανοίξετε και να αποκλείσετε τις θύρες στο Firewall

Για να ανοίξετε ένα θύρα (ή συνδυασμό θύρας/πρωτοκόλλου) στο τείχος προστασίας, απλά προσθέστε το σε μια ζώνη με την επιλογή - add-port . Εάν δεν καθορίσετε ρητά τη ζώνη, θα ενεργοποιηθεί στην προεπιλεγμένη ζώνη.

Το παρακάτω παράδειγμα δείχνει πώς να προσθέσετε τη θύρα 80 και 443 για να επιτρέψετε την επισκεψιμότητα ιστού μέσω του HTTP και του HTTPS > πρωτόκολλα, αντίστοιχα:

$ sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --add-port=443/tcp

Στη συνέχεια, επαναλάβετε τη φόρτωση του τείχους προστασίας και ελέγξτε για μία ακόμη φορά τις ενεργοποιημένες λειτουργίες της δημόσιας ζώνης, θα πρέπει να μπορείτε να δείτε τις μόλις προστεθείσες θύρες.

$ sudo firewall-cmd --reload
$ sudo firewall-cmd --info-zone public

Το κλείδωμα ή το κλείσιμο μιας θύρας στο τείχος προστασίας είναι εξίσου εύκολο, απλά να το αφαιρέσετε από μια ζώνη με την επιλογή - remove-port . Για παράδειγμα, για να κλείσετε τις θύρες 80 και 443 στη δημόσια ζώνη.

$ sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp --remove-port=443/tcp

Αντί να χρησιμοποιήσετε συνδυασμό θύρας ή θύρας/πρωτοκόλλου, μπορείτε να χρησιμοποιήσετε το όνομα υπηρεσίας στο οποίο έχει εκχωρηθεί μια θύρα, όπως εξηγείται στην επόμενη ενότητα.

Πώς να ανοίξετε και να αποκλείσετε τις υπηρεσίες στο Firewall

Για να ανοίξετε μια υπηρεσία στο τείχος προστασίας, ενεργοποιήστε την χρησιμοποιώντας την επιλογή - add-service . Εάν παραλειφθεί η ζώνη, θα χρησιμοποιηθεί η προεπιλεγμένη ζώνη.

Η ακόλουθη εντολή θα ενεργοποιήσει μόνιμα την υπηρεσία http στη δημόσια ζώνη.

$ sudo firewall-cmd --zone=public --permanent --add-service=http 
$ sudo firewall-cmd --reload 

Η επιλογή - remove-service μπορεί να χρησιμοποιηθεί για την απενεργοποίηση μιας υπηρεσίας.

$ sudo firewall-cmd --zone=public --permanent --remove-service=http 
$ sudo firewall-cmd --reload 

Πώς να ενεργοποιήσετε και να απενεργοποιήσετε την εφαρμογή IP Masquerading χρησιμοποιώντας το Firewall

IP Masquerading (επίσης γνωστό ως IPMASQ ή MASQ ) NAT ισχυρό> μηχανισμό στη δικτύωση Linux που επιτρέπει στους οικοδεσπότες σας σε ένα δίκτυο, με ιδιωτικές διευθύνσεις IP να επικοινωνούν με το Διαδίκτυο χρησιμοποιώντας την δημόσια IP διεύθυνση του εξυπηρετητή του Linux (πύλη IPMASQ).

Πρόκειται για χαρτογράφηση ενός προς πολλούς. Η επισκεψιμότητα από τους αόρατους κεντρικούς υπολογιστές σας θα εμφανιστεί σε άλλους υπολογιστές στο διαδίκτυο, σαν να έρχονταν από το διακομιστή σας Linux.

Μπορείτε να ενεργοποιήσετε την IP masquerading σε μια επιθυμητή ζώνη, για παράδειγμα τη δημόσια ζώνη. Αλλά πριν κάνετε κάτι τέτοιο, ελέγξτε πρώτα εάν είναι ενεργοποιημένο ή μη (ή "όχι" σημαίνει απενεργοποιημένο και "ναι" σημαίνει διαφορετικά).

$ sudo firewall-cmd --zone=public --query-masquerade
$ sudo firewall-cmd --zone=public --add-masquerade

Μια τυπική περίπτωση χρήσης για μεταμφίεση είναι η εκτέλεση προώθησης θύρας. Υποθέτοντας ότι θέλετε να SSH από απομακρυσμένο μηχάνημα σε κεντρικό υπολογιστή στο εσωτερικό σας δίκτυο με την IP 10.20.1.3 , στην οποία ο δαίμονας sshd ακούει στη θύρα 5000 .

Μπορείτε να προωθήσετε όλες τις συνδέσεις στη θύρα 22 στον διακομιστή του Linux σας στην προοριζόμενη θύρα του κεντρικού υπολογιστή προορισμού σας, εκδίδοντας:

$ sudo firewall-cmd --zone=public --add-forward-port=port=22=proto=tcp:toport=5000:toaddr=10.20.1.3

Για να απενεργοποιήσετε τη μεταμφίεση σε μια ζώνη, χρησιμοποιήστε το διακόπτη - remove-masquerade .

$ sudo firewall-cmd --zone=public --remove-masquerade

Πώς να ενεργοποιήσετε και να απενεργοποιήσετε το μήνυμα IMCP στο Firewall

Τα μηνύματα ICMP ( Πρωτόκολλο μηνυμάτων ελέγχου Internet ) είναι είτε αιτήσεις πληροφοριών είτε απαντήσεις σε αιτήματα πληροφοριών ή σε συνθήκες σφάλματος.

Μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τα μηνύματα ICMP στο τείχος προστασίας, αλλά πριν από αυτή την πρώτη λίστα, όλοι οι τύποι icmp που υποστηρίζονται.

$ sudo firewall-cmd --get-icmptypes

Για να προσθέσετε ή να καταργήσετε έναν τύπο μπλοκ που θέλετε.

$ sudo firewall-cmd --zone=home --add-icmp-block=echo-reply
OR
$ sudo firewall-cmd --zone=home --remove-icmp-block=echo-reply

Μπορείτε να δείτε όλους τους τύπους icmp που προστέθηκαν σε μια ζώνη χρησιμοποιώντας το διακόπτη - list-icmp-blocks .

$ sudo firewall-cmd --zone=home --list-icmp-blocks

Πώς να χρησιμοποιήσετε την άμεση διασύνδεση για να περάσετε τις άκυρες εντολές iptables

Το τείχος προστασίας-cmd παρέχει επίσης άμεσες επιλογές ( - άμεση ) για να έχετε πιο άμεση πρόσβαση στο τείχος προστασίας. Αυτό είναι χρήσιμο για όσους έχουν βασικές γνώσεις του iptables.

το κόκκινο

Ακολουθεί ένα παράδειγμα για το πώς να περάσετε τον αρχικό κανόνα iptables, χρησιμοποιώντας τον διακόπτη - add-rules . Μπορείτε εύκολα να καταργήσετε αυτούς τους κανόνες αντικαθιστώντας τον κώδικα - add-rule με τον κώδικα - κατάργηση :

$ sudo firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 80 -j ACCEPT

Για περισσότερες πληροφορίες σχετικά με τα iptables , δείτε αυτόν τον οδηγό: Πώς να εγκαταστήσετε ένα τείχος προστασίας Iptables για να ενεργοποιήσετε την απομακρυσμένη πρόσβαση σε υπηρεσίες στο Linux.

Εάν δεν είστε εξοικειωμένοι με τη σύνταξη του iptables, μπορείτε να επιλέξετε την " πλούσια γλώσσα " του firewall για τη δημιουργία πιο πολύπλοκων κανόνων τείχους προστασίας με έναν εύκολο τρόπο κατανόησης όπως εξηγείται στη συνέχεια.

Πώς να χρησιμοποιήσετε την εμπλουτισμένη γλώσσα σε Firewall

Η πλούσια γλώσσα (γνωστή επίσης ως πλούσιοι κανόνες ) χρησιμοποιείται για την προσθήκη πιο πολύπλοκων κανόνων τείχους προστασίας για τα IPv4 και IPv6 < χωρίς τη γνώση της σύνταξης iptables.

Επεκτείνει τις λειτουργίες ζώνης (υπηρεσία, λιμάνι, block-block, μεταμφίεση και προωθητική θύρα) που καλύψαμε. Υποστηρίζει τις διευθύνσεις προέλευσης και προορισμού, την καταγραφή, τις ενέργειες και τα όρια για τα αρχεία καταγραφής και τις ενέργειες.

Ο κανόνας - add-rich-rule χρησιμοποιείται για την προσθήκη πλούσιων κανόνων. Αυτό το παράδειγμα δείχνει πώς μπορείτε να επιτρέπετε νέες συνδέσεις IPv4 και IPv6 για την υπηρεσία http και το αρχείο καταγραφής 1 ανά λεπτό χρησιμοποιώντας έλεγχο:

$ sudo firewall-cmd --add-rich-rule='rule service name="http" audit limit value="1/m" accept'

Για να καταργήσετε τον κανόνα που προστέθηκε, αντικαταστήστε την επιλογή - add-rich-rule με - rule-rich-rule .

$ sudo firewall-cmd --remove-rich-rule='rule service name="http" audit limit value="1/m" accept'

Αυτή η λειτουργία επιτρέπει επίσης να αποκλείσετε ή να επιτρέψετε την κυκλοφορία από μια συγκεκριμένη διεύθυνση IP. Το παρακάτω παράδειγμα δείχνει τον τρόπο απόρριψης συνδέσεων από την διεύθυνση IP 10.20.1.20 .

$ sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" reject'

Πώς να ενεργοποιήσετε και να απενεργοποιήσετε τη λειτουργία πανικού στο Firewall

Μπορείτε να ενεργοποιήσετε αυτήν τη λειτουργία σε καταστάσεις έκτακτης ανάγκης όπου εξέρχεται απειλή για το περιβάλλον δικτύου σας.

Για να κάνετε ερώτηση σχετικά με την κατάσταση πανικού, χρησιμοποιήστε την επιλογή - query-panic .

$ sudo firewall-cmd --query-panic

Για να ενεργοποιήσετε την κατάσταση πανικού, χρησιμοποιήστε την επιλογή - panic-on . Μπορείτε να ελέγξετε εάν λειτουργεί με την εντολή ping όπως φαίνεται. Επειδή το πακέτο απομακρύνεται, το όνομα www.google.com δεν μπορεί να επιλυθεί και συνεπώς το σφάλμα που εμφανίζεται.

$ sudo firewall-cmd --panic-on
$ ping -c 2 www.google.com

Για να απενεργοποιήσετε τη λειτουργία πανικού, χρησιμοποιήστε την επιλογή - panic-off .

$ sudo firewall-cmd --panic-off

Πώς να κλειδώσετε το firewall

Θυμηθείτε, αναφέραμε στα βασικά στοιχεία σχετικά με το firewall ότι οι τοπικές εφαρμογές ή υπηρεσίες είναι σε θέση να αλλάξουν τη διαμόρφωση του τείχους προστασίας εάν εκτελούνται με δικαιώματα root. Μπορείτε να ελέγξετε ποιες εφαρμογές είναι σε θέση να ζητήσουν αλλαγές στο τείχος προστασίας, καθορίζοντας στη συνέχεια σε μια λευκή λίστα κλειδώματος.

Αυτή η λειτουργία είναι απενεργοποιημένη από προεπιλογή, μπορείτε να την ενεργοποιήσετε ή να την απενεργοποιήσετε με τον διακόπτη - lockdown-on ή - lockdown .

$ sudo firewall-cmd --lockdown-on
OR
$ sudo firewall-cmd --lockdown-off

Σημειώστε ότι συνιστάται να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν τη δυνατότητα, επεξεργάζοντας το κύριο αρχείο ρυθμίσεων, επειδή το cmd-firewall ενδέχεται να μην υπάρχει στην λίστα επιτρεπτών εντολών κλειδώματος κατά την ενεργοποίηση του κλειδώματος.

$ sudo vim /etc/firewalld/firewalld.conf

Βρείτε την παράμετρο Lockdown και αλλάξτε την τιμή από όχι (σημαίνει off) στο yes .

Lockdown=yes

Για να γίνει αυτή η ρύθμιση μόνιμη επανατοποθέτηση του firewall.

$ sudo firewall-cmd --reload

Το Firewall είναι μια εύκολη στη χρήση αντικατάσταση για την υπηρεσία iptables, η οποία χρησιμοποιεί το iptables ως backend. Σε αυτό το άρθρο, δείξαμε τον τρόπο εγκατάστασης του πακέτου firewall, εξήγησε σημαντικά χαρακτηριστικά του firewalld και συζητήσαμε πώς να τα διαμορφώσουμε στο περιβάλλον χρόνου εκτέλεσης και μόνιμης διαμόρφωσης.

Εάν έχετε οποιεσδήποτε ερωτήσεις ή παρατηρήσεις, μη διστάσετε να επικοινωνήσετε μαζί μας μέσω της παρακάτω φόρμας σχολίων. Για περισσότερες πληροφορίες, μπορείτε να ανατρέξετε στη σελίδα του εγχειριδίου firewall (firewall) ή στην τεκμηρίωση του firewall στον ιστότοπο του έργου.