我之前研究了下，原来 Github 企业版已经内置了 UFW 防火墙软件。其实，我们只需要简单的利用 UFW 防火墙增加一些访问规则就可以轻松的给服务器增加 IP 访问控制了。

UFW 的全称是 Uncomplicated Firewall，其实就是“不复杂的防火墙”，从名字就知道，UFW 的设计就是为了简单易用的，我大概玩了玩，感觉比 iptables 确实简单亲民多了。从Ubuntu 8.04 LTS 以后，UFW 都是默认的防火墙选项了。

首先，ssh -p 122 admin@yourip 连接到你的 Github 企业版终端后台。然后，执行：

sudo ufw status

输出结果大概为如下：

Status: active

To                         Action      From
--                         ------      ----
ghe-1194                   ALLOW       Anywhere                  
ghe-122                    ALLOW       Anywhere                  
ghe-161                    ALLOW       Anywhere                  
ghe-22                     ALLOW       Anywhere                  
ghe-25                     ALLOW       Anywhere                  
ghe-443                    ALLOW       Anywhere                  
ghe-80                     ALLOW       Anywhere                  
ghe-8080                   ALLOW       Anywhere                  
ghe-8443                   ALLOW       Anywhere                  
ghe-9418                   ALLOW       Anywhere                  
ghe-1194 (v6)              ALLOW       Anywhere (v6)             
ghe-122 (v6)               ALLOW       Anywhere (v6)             
ghe-161 (v6)               ALLOW       Anywhere (v6)             
ghe-22 (v6)                ALLOW       Anywhere (v6)             
ghe-25 (v6)                ALLOW       Anywhere (v6)             
ghe-443 (v6)               ALLOW       Anywhere (v6)             
ghe-80 (v6)                ALLOW       Anywhere (v6)             
ghe-8080 (v6)              ALLOW       Anywhere (v6)             
ghe-8443 (v6)              ALLOW       Anywhere (v6)             
ghe-9418 (v6)              ALLOW       Anywhere (v6)             

这些就是当年 Github 企业版内置的标准规则，你大概对照 Github 企业版端口文档，就大概知道这些端口是干啥的。

默认情况下不建议修改这些设置。但是如果你希望限制某些 IP 才能访问 Github 企业版的https端，那么你可以这样把某个 IP 例如 101.83.88.134 加入你的白名单IP：

sudo ufw allow from 101.83.88.134 to any port 443

系统会返回：

Rule added

这代表规则已经添加成功，你再执行 sudo ufw status，返回就会多一行：

443                        ALLOW       101.80.99.250             

然后，当你把全部要加入白名单的 IP 都加入以后，你还需要把原有的默认任何 IP 都可以访问 443 的规则删除，也就是 ghe-443 ALLOW Anywhere 那一行。

怎么删除呢？首先你要得到规则号码，这时候你可以用

sudo ufw status numbered

这样你就会发现，ghe-443 前面出现了一个编号，如下：

[ 6] ghe-443                    ALLOW IN    Anywhere                 

然后你执行

sudo ufw delete 6

这样默认任何 IP 可以访问 443 的规则就被删除了，这个时候你的服务器的 443 端口也就是 https 协议，只有你指定的 IP 可以访问了。

如果你想限制什么 IP 能访问服务器的终端后台，操作方法类似，只不过端口是 122。但是切记不要误操作，以免让自己无法登录终端后台进行维护了。

注：这个规则在 Github 企业版服务器升级的时候，会被抹除，所以，如果你指定好了相应的规则，你可以把它写成脚本，每次升级后再执行一次即可。

Github 企业版如何限制访问IP？最先出现在Tinyfool的个人网站。

Github Desktop 是 Github 自己出品的 Git 和 Github 客户端，特别是针对 Github 的各种特定功能都有支持，所以现在很流行也被广泛的使用。

自签证书会带来的问题

有些企业的 Github 企业版因为种种原因没有申请正式的证书，或者是在POC，内部部署测试期间，没有申请证书。那么有些时候，比如刚刚下载 Github Desktop 就会在默认的欢迎页面遇到困难。例如下图：

解决方法

第一步，在欢迎页选择 skip this step 跳过欢迎页

第二步，正常设置你的 Git 信息

这个信息是提供在提交记录里面你的个人信息的。填写 Name 和 Email 即可。

第三步，填写服务器地址

首先，在菜单里面选择 Preferences:

在弹出的界面选择 Accounts，然后点击 Github Enterprise Server 旁边的 Sign In 按钮。

然后填写你的 Github 企业版服务器地址：

第四步，信任证书。

接下来会提示你这个服务器的证书是自签证书。提示也介绍了，你在试用 Github 企业版服务器的时候，自签证书是很普遍的。

请选择查看证书 View Certificate

然后，在弹出的证书介绍页面选择显示证书

然后选择始终信任即可

第五步，登录你的账号和密码，稍事等待设置就完成了。

完成设置后，你就可以点击 Clone a Repository 把一个 repo 克隆到本地进行操作了。

Github Desktop如何添加使用自签证书的Github企业版账号最先出现在Tinyfool的个人网站。