Я запускаю сервер с nginx и fastcgi. Я использую TCP-сокеты для fastcgi вместо Unix-сокетов, так как читал, что это лучше масштабируется. Fastcgi-сервер работает на fastcgi://127.0.0.1:9000. Я пытаюсь выяснить, какие правила мне нужно добавить в iptables, чтобы разрешить трафик. Я выяснил следующее:
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
Но я предполагаю, что мне также следует указать исходный порт и исходный IP для правила INPUT и порт назначения и целевой IP для правила OUTPUT (в целях безопасности). Каковы будут правильные значения для этого?
Надеюсь, мой вопрос понятен.
решение1
Это так называемые правила iptable loopback, как показано ниже.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Порт fast_cgi — это внутренний порт между php-fpm и веб-сервером. Если вы хотите убедиться, является ли он частью сервера или нет, заблокируйте весь IP-трафик и проверьте соединение fast_cgi с вашим сервером, запустив любой тестовый файл php.
Вы можете заблокировать свой трафик следующим образом:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP