Заблокировать доступ к порту Apache при установленном Nginx

[Удален]

28 сентября 2013, 13:20

2423

Установил Nginx как фронтенд перед апачем. Апач стал висеть на 81 порту.

Каким образом можно сделать, чтобы по 81 порту апач перестал отвечать на запросы из отрытого Интернета и отвечал только за запросы Nginx в рамках одного сервера? Пробовал добавить 81 порт в файрвол с единственным разрешенным адресом 127.0.0.1 - результат 502 Bad Gateway.

Это действия не просто так, а чтобы защититься от сканеров и ботов - смысла от Nginx нет если они nmap-ом доберутся до апачевского порта и продолжат его перегружать. Есть выход из ситуации? Задача вроде элементарная, а вот как реализовать? :confused: Ос: CentOs 5

137

iHead

28 сентября 2013, 13:49

#1

повесить апача на локальный интерфейс.

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)

[Удален]

28 сентября 2013, 14:31

#2

Найти какой-либо приемлемый и легко реализуемый вариант не удалось, поэтому сочинил "костыль":

#защита от доступа к Апачу минуя Nginx

RewriteEngine On

RewriteCond %{SERVER_PORT} !^80$

RewriteRule ^(.*)$ - [F,L]

1215

Mik Foxi

28 сентября 2013, 14:53

#3

в настройках апача указываете 81 порт, ip не указываете или указываете локальный 127.0.0.1

в nginx upstream backend указываете 127.0.0.1:81

в фаерволе закрываете 81 порт. и никаких костылей не нужно.

Антибот, антиспам, веб фаервол, защита от накрутки поведенческих: https://antibot.cloud/ (Зеркало: https://антибот.рф/ ) Форум на замену серчу: https://foxi.biz/

364

pupseg

28 сентября 2013, 17:03

#4

в конфиге апача Listen 127.0.0.1:81, в

конфиге nginx'а

proxy_pass http://127.0.0.1:81;

что не так то?

все что биндится на 127.0.0.1 - не смотрит в паблик интернет (это если по простому).

PS: Listen 81 в конфиге апача - биндит по умолчанию на всех интерфейсах, поэтому укажите явно - где слушать апачу порт, т.е. Listen 127.0.0.1:81

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

Google тестирует объявления «Listen Chrome, IE, Edge, Firefox С июля Google Chrome

990

kxk

2 октября 2013, 06:25

#5

apachectl, Вы ещё ip сервера добавьте в вайт лит, а так ваши действия правильные

Ваш DEVOPS

[Удален]

2 октября 2013, 08:26

#6

apachectl, правильно было бы закрыть на уровне файервола все, кроме нужного (nginx, mail, ...).

По умолчанию ставим политику DROP и разрешаем запросы локальные и из-вне для 80 порта, почтовых портов ну и кому еще нужно.

Mail.Ru начинает тестирование нового Gmail начнет в безопасном Вышла новая версия Почты

Курс биткоина превысил $50 тысяч

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ