Estou executando um servidor com nginx e fastcgi. Estou usando soquetes TCP para fastcgi em vez de soquetes Unix, pois li que isso é melhor dimensionado. O servidor fastcgi está rodando em fastcgi://127.0.0.1:9000. Estou tentando descobrir quais regras preciso adicionar ao iptables para permitir a passagem do tráfego. Eu descobri isso:
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
Mas acho que também devo especificar uma porta de origem e um IP de origem para a regra INPUT e uma porta de destino e um IP de destino para a regra OUTPUT (para fins de segurança). Quais seriam os valores corretos para isso?
Espero que minha pergunta faça sentido.
Responder1
Estas são as chamadas regras iptable de loopback, conforme mostrado abaixo.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
A porta fast_cgi é uma porta interna entre o php-fpm e o servidor web. se você quiser ter certeza de que faz parte do servidor ou não, bloqueie todo o tráfego IP e teste sua conexão fast_cgi com seu servidor executando qualquer teste de arquivo php.
você pode bloquear seu tráfego desta forma:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP