저는 nginx와 fastcgi를 사용하여 서버를 실행하고 있습니다. 나는 이것이 더 잘 확장된다는 것을 읽었기 때문에 Unix 소켓 대신 fastcgi에 TCP 소켓을 사용하고 있습니다. fastcgi 서버는 fastcgi://127.0.0.1:9000에서 실행 중입니다. 트래픽 통과를 허용하기 위해 iptables에 어떤 규칙을 추가해야 하는지 알아내려고 노력 중입니다. 나는 이것을 많이 알아 냈습니다.
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
하지만 INPUT 규칙에는 소스 포트와 소스 IP를 지정하고, 보안 목적으로 OUTPUT 규칙에는 대상 포트와 대상 IP도 지정해야 한다고 생각합니다. 그에 대한 올바른 값은 무엇입니까?
내 질문이 의미가 있기를 바랍니다.
답변1
이것이 바로 아래와 같이 루프백 iptable 규칙이라고 불리는 것입니다.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
fast_cgi 포트는 php-fpm과 웹 서버 사이의 내부 포트입니다. 그것이 서버의 일부인지 확인하려면 모든 IP 트래픽을 차단하고 PHP 파일 테스트를 실행하여 서버에 대한 fast_cgi 연결을 테스트하십시오.
다음과 같은 방법으로 트래픽을 차단할 수 있습니다.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP