- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветствую.
Собственно сабж: ставил связку апач префорк + нгинкс, на 80 и 81 порты соответственно.
Всё как бы работает, НО: закрываю tcp и udp коннекты через айпитаблы для всех портов кроме этих двух (iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP) и, почему-то, блокируется апач... Нгикс работает... Немогу понять почему.
Вот куски конфов:
апач:
NameVirtualHost 127.0.0.1
Listen *:81
нгинкс:
server {
listen айпи серва:80;
....
location / {
proxy_pass http://127.0.0.1:81;
....
}
error_page 500 502 503 504 /error500.html;
}
Мб у кого есть соображения ?...
1-й вариант
Надо прописать правило
iptables –I INPUT –s <ip вашего сайта> –j ACCEPT
2-й вариант
Если апаче у вас принимает запросы на локальном интерфейсе 127.0.0.1:81
То закрывать через фаервол 81 порт не нужно.
Так как к локальному интерфейсу 127.0.0.1 все равно кроме nginx (и других локальных процессов) доступ из вне и так никто не получит.
zexis, коннекешены локально на апач пойдут с 127.0.0.1, нет? :)
bm_5, iptables -vnL в студию.
tcpdump в помощь
zexis,
Не понимаю смысла Вашей команды, син у меня итак проходит (я же писал, что нгикс нормально работает).
Насчёт второго варианта: тоже писал, 80й и 81й порт наоборот открыты(iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP).
myhand,
Собственно одно правило:
Chain INPUT (policy ACCEPT 727K packets, 67M bytes)
pkts bytes target prot opt in out source destination
22 1104 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports ! 3268,80,81
Да и такая же проблема со сквидом (3268 порт для него открыт).
Мультипортовые Модуль позволяет указать число различных портов в одном правиле. Это позволяет меньше и легче правил содержания Iptables конфигурационных файлов. Например, если мы хотим, чтобы глобальный доступ к SMTP, HTTP, HTTPS и SSH порты на нашем сервере, мы, как правило, использовать что-то вроде следующего:
http://howtonixnux.blogspot.com/2008/03/iptables-using-multiport.html
Он для того что бы упростить правило типа в список выстраивать, а не для вашего метода.
Тоесть iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP Он тут не исключит ваши порты а заблокирует, ну и у вас тут ошибки есть правиле.
myhand,
Собственно одно правило:
Chain INPUT (policy ACCEPT 727K packets, 67M bytes)
pkts bytes target prot opt in out source destination
22 1104 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports ! 3268,80,81
Ну дак маловато правил. А UDP как к вам придет (с 53 на клиентский порт)? Никому на тазике DNS не интересен? :D
Stateless файервол сложнее в обращении. _Зачем_ оно Вам?
Фильтруйте по --state NEW на нужные порты (как минимум 80, а c интерфейса lo
можно весь трафик к себе пускать),
а затем --state ESTABLISHED,RELATED -j ACCEPT
все остальное - DROP.
См. также:
http://www.opennet.ru/docs/RUS/iptables/
madoff, символ "!" означает отрицание аргумента
опции --dports. Т.е. _НЕ_ указанные далее порты.
madoff, символ "!" означает отрицание аргумента
опции --dports. Т.е. _НЕ_ указанные далее порты.
Он не будет модуль так работать стабильно, этот модуль нужен для сортировке, в нём нету понятие мултипорты типа от 1024 до 65000.
Опция --dports причём тут ? , какое отношение к модулю ? если он ! отрицание применяет к -m multiport .
перевожу -m модуль по имени multiport ! с отрицанием.
Вот как он работает ))
iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports 80,81 -j DROP
Запретить порты в списке!
madoff, отрицание там применяется именно к списку портов. В man iptables это написано.
ТС, добавьте еще диапазон --dports 1024:65535 помимо 80,81 в правило. Нужно ACCEPT
такие соединения с проверкой ! --syn отдельно _до_ Вашего правила. С добавлением правила
для DNS (с 53 порта на диапазон >= 1024) - все будет у вас работать. Но стоит переделать
на нормальный вариант с -m state, как советовали Выше.
madoff, отрицание там применяется именно к списку портов. В man iptables это написано.
ТС, добавьте еще диапазон --dports 1024:65535 помимо 80,81 в правило. Нужно ACCEPT
такие соединения с проверкой ! --syn отдельно _до_ Вашего правила. С добавлением правила
для DNS (с 53 порта на диапазон >= 1024) - все будет у вас работать. Но стоит переделать
на нормальный вариант с -m state, как советовали Выше.
----
покажите с применением модуля мульти порт что бы работало как TC хочет цитирую
ТС, добавьте еще диапазон --dports 1024:65535, (iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP).
Очень жду примера что бы работало у TC.
Я уже объяснил что нужно сделать (udp не фильтруется для примера):