Quero usar proxy reverso (nginx ou apache) para meu aplicativo Tomcat. Quero redirecionar as portas 80.443 do proxy reverso para as portas Tomcat 8080, 8443. Depois de configurar o proxy reverso, qual porta deve estar aberta para entrada e saída?
Isso está certo ? entrada iptables: abra a porta 80, 443 saída iptables: abra a porta 8080,8443
atenciosamente
barba Negra
Responder1
ATCPa conexão é sempre entre dois (não mais) participantes. Cada um é identificado com um endereço IPeum porto. Então, na realidade, ao usar um proxy reverso, você tem:
- Uma conexão entre o cliente
<client_IP>:<random_port>
enginx<server_public_IP>:80
através de sua interface física. - Uma conexões entrenginx
127.0.0.1:80
egato127.0.0.1:8080
através deinterface de loopback.
Não há razão para um firewall bloquear a comunicação na interface de loopback. Então você provavelmente deseja permitir o tráfego de entrada comdestinotráfego de porta 80
e 443
saída comfonteporto 80
e 443
.
No entanto, normalmente, o tráfego de saída énãobloqueado (policy ACCEPT
), você só precisa das seguintes regras de iptables:
iptables -A INPUT -i lo -j ACCEPT # loopback interface
# don't block existing traffic
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m comment nginx -j ACCEPT
# Probably you want to allow ssh
iptables -A INPUT -p tcp --dport 22 -m comment SSH -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
PS: Você também pode executargatodiretamente nas portas 80
e 443
com as mesmas regras de firewall.