我正在運行一個帶有 nginx 和 fastcgi 的伺服器。我對 fastcgi 使用 TCP 套接字而不是 Unix 套接字,因為我讀到這可以更好地擴展。 fastcgi 伺服器運行在 fastcgi://127.0.0.1:9000 上。我正在嘗試找出需要向 iptables 添加哪些規則以允許流量通過。我已經弄清楚了這麼多:
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
但我猜我還應該為 INPUT 規則指定來源連接埠和來源 IP,為 OUTPUT 規則指定目標連接埠和目標 IP(出於安全目的)。正確的值是多少?
我希望我的問題有意義。
答案1
這些就是所謂的環回 iptable 規則,如下所示。
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
fast_cgi 連接埠是 php-fpm 和 Web 伺服器之間的內部連接埠。如果您想確保它是否是伺服器的一部分,請阻止所有 ip 流量並透過執行任何 php 檔案測試來測試與伺服器的 fast_cgi 連線。
您可以透過以下方式阻止您的流量:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP