我有一个运行 CentOS 的虚拟机和一个用于托管我在那里部署的随机服务的 Web 服务器,所以为了使它可以从 Internet 访问,我使用iptables. 由于 Web 服务器本身在非root的专用用户下作为服务运行,因此无法直接使用端口 80。因此,在阅读完文档后,我添加了从端口 80 到 8080 的重定向,以便 Web 服务器可以绑定到该端口(我确实计划稍后添加对 HTTPS 的支持,也许我会购买一个合适的域,然后使用 Let's加密什么的)。
到目前为止它工作正常,但最近我注意到端口 8080 也保持开放状态,因此任何针对端口 80 或 8080 的请求都会得到相同的响应。问题是,我只需要从外部访问端口 80,因为我的提供商以某种方式考虑让端口 8080 开放某种潜在的滥用?无论哪种方式,我都不希望定向到端口 8080 的外部请求得到响应,只有那些以端口 80 为目标的请求才能得到响应。
到目前为止,这就是我的配置文件的iptables样子:
*nat
:PREROUTING ACCEPT [89:7936]
:INPUT ACCEPT [70:3812]
:OUTPUT ACCEPT [41:2756]
:POSTROUTING ACCEPT [41:2756]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
*filter
:INPUT ACCEPT [916:134290]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [819:117300]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
我尝试删除打开端口 8080 的规则,但重新加载后iptables服务器也不会响应来自端口 80 的请求。最近,我一直在考虑添加另一个重定向规则,将源 IP 更改为特定的东西以在端口 8080 中接受,但我不确定这是否可行。我需要这里的指导。
注意:我对这个工具不太熟悉,这是我怀疑的主要来源。另外,也许我遗漏了一些可能有用的规则,因此我们将不胜感激下面评论中对新规则的任何建议。