proxy reverso para webapplication local, qual porta deve ser aberta pelo iptables?

proxy reverso para webapplication local, qual porta deve ser aberta pelo iptables?

Quero usar proxy reverso (nginx ou apache) para meu aplicativo Tomcat. Quero redirecionar as portas 80.443 do proxy reverso para as portas Tomcat 8080, 8443. Depois de configurar o proxy reverso, qual porta deve estar aberta para entrada e saída?

Isso está certo ? entrada iptables: abra a porta 80, 443 saída iptables: abra a porta 8080,8443

atenciosamente

barba Negra

Responder1

ATCPa conexão é sempre entre dois (não mais) participantes. Cada um é identificado com um endereço IPeum porto. Então, na realidade, ao usar um proxy reverso, você tem:

  • Uma conexão entre o cliente <client_IP>:<random_port>enginx <server_public_IP>:80através de sua interface física.
  • Uma conexões entrenginx 127.0.0.1:80egato 127.0.0.1:8080através deinterface de loopback.

Não há razão para um firewall bloquear a comunicação na interface de loopback. Então você provavelmente deseja permitir o tráfego de entrada comdestinotráfego de porta 80e 443saída comfonteporto 80e 443.

No entanto, normalmente, o tráfego de saída énãobloqueado (policy ACCEPT), você só precisa das seguintes regras de iptables:

iptables -A INPUT -i lo -j ACCEPT # loopback interface
# don't block existing traffic
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m comment nginx -j ACCEPT
# Probably you want to allow ssh
iptables -A INPUT -p tcp --dport 22 -m comment SSH -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

PS: Você também pode executargatodiretamente nas portas 80e 443com as mesmas regras de firewall.

informação relacionada