Ich betreibe einen Server mit nginx und fastcgi. Ich verwende TCP-Sockets für fastcgi statt Unix-Sockets, da ich gelesen habe, dass dies besser skalierbar ist. Der Fastcgi-Server läuft auf fastcgi://127.0.0.1:9000. Ich versuche herauszufinden, welche Regeln ich zu iptables hinzufügen muss, um den Datenverkehr durchzulassen. So viel habe ich herausgefunden:
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
Ich vermute aber, dass ich auch einen Quellport und eine Quell-IP für die INPUT-Regel und einen Zielport und eine Ziel-IP für die OUTPUT-Regel angeben sollte (aus Sicherheitsgründen). Was wären dafür die richtigen Werte?
Ich hoffe, dass meine Frage Sinn ergibt.
Antwort1
Dies sind die sogenannten Loopback-IPTable-Regeln, wie unten gezeigt.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Der Fast_CGI-Port ist ein interner Port zwischen PHP-FPM und dem Webserver. Wenn Sie sicherstellen möchten, dass er Teil des Servers ist oder nicht, blockieren Sie den gesamten IP-Verkehr und testen Sie Ihre Fast_CGI-Verbindung zu Ihrem Server, indem Sie einen beliebigen PHP-Dateitest ausführen.
Sie können Ihren Datenverkehr folgendermaßen blockieren:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP