Связка nginx + apache2. Проблемы с iptables.

1-й вариант

Надо прописать правило

iptables –I INPUT –s <ip вашего сайта> –j ACCEPT

2-й вариант

Если апаче у вас принимает запросы на локальном интерфейсе 127.0.0.1:81

То закрывать через фаервол 81 порт не нужно.

Так как к локальному интерфейсу 127.0.0.1 все равно кроме nginx (и других локальных процессов) доступ из вне и так никто не получит.

zexis, коннекешены локально на апач пойдут с 127.0.0.1, нет? :)

bm_5, iptables -vnL в студию.

tcpdump в помощь

zexis,

Не понимаю смысла Вашей команды, син у меня итак проходит (я же писал, что нгикс нормально работает).

Насчёт второго варианта: тоже писал, 80й и 81й порт наоборот открыты(iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP).

myhand,

Собственно одно правило:

Chain INPUT (policy ACCEPT 727K packets, 67M bytes)

pkts bytes target prot opt in out source destination

22 1104 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports ! 3268,80,81

Да и такая же проблема со сквидом (3268 порт для него открыт).

Мультипортовые Модуль позволяет указать число различных портов в одном правиле. Это позволяет меньше и легче правил содержания Iptables конфигурационных файлов. Например, если мы хотим, чтобы глобальный доступ к SMTP, HTTP, HTTPS и SSH порты на нашем сервере, мы, как правило, использовать что-то вроде следующего:

http://howtonixnux.blogspot.com/2008/03/iptables-using-multiport.html

Он для того что бы упростить правило типа в список выстраивать, а не для вашего метода.

Тоесть iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP Он тут не исключит ваши порты а заблокирует, ну и у вас тут ошибки есть правиле.

Ну дак маловато правил. А UDP как к вам придет (с 53 на клиентский порт)? Никому на тазике DNS не интересен? :D

Stateless файервол сложнее в обращении. _Зачем_ оно Вам?

Фильтруйте по --state NEW на нужные порты (как минимум 80, а c интерфейса lo

можно весь трафик к себе пускать),

а затем --state ESTABLISHED,RELATED -j ACCEPT

все остальное - DROP.

См. также:

http://www.opennet.ru/docs/RUS/iptables/

madoff, символ "!" означает отрицание аргумента

опции --dports. Т.е. _НЕ_ указанные далее порты.

madoff, символ "!" означает отрицание аргумента

опции --dports. Т.е. _НЕ_ указанные далее порты.

Он не будет модуль так работать стабильно, этот модуль нужен для сортировке, в нём нету понятие мултипорты типа от 1024 до 65000.

Опция --dports причём тут ? , какое отношение к модулю ? если он ! отрицание применяет к -m multiport .

перевожу -m модуль по имени multiport ! с отрицанием.

Вот как он работает ))

iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports 80,81 -j DROP

Запретить порты в списке!

madoff, отрицание там применяется именно к списку портов. В man iptables это написано.

ТС, добавьте еще диапазон --dports 1024:65535 помимо 80,81 в правило. Нужно ACCEPT

такие соединения с проверкой ! --syn отдельно _до_ Вашего правила. С добавлением правила

для DNS (с 53 порта на диапазон >= 1024) - все будет у вас работать. Но стоит переделать

на нормальный вариант с -m state, как советовали Выше.

----

покажите с применением модуля мульти порт что бы работало как TC хочет цитирую

ТС, добавьте еще диапазон --dports 1024:65535, (iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP).

Очень жду примера что бы работало у TC.

Я уже объяснил что нужно сделать (udp не фильтруется для примера):

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -p udp -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m multiport --dports 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP