mmr*_*mmr 7 firewall web-server port
我很快就会尝试部署我的第一个网络应用程序,所以我的经验很缺乏。我记得在某处读到过,bot 会在暴露于 Internet 后的几分钟内进行端口扫描(也许这就是 Windows 95 系统被入侵所需的时间,自从我阅读这篇文章以来已经有一段时间了)。这个特定的服务器在 amd64 上运行 Ubuntu 9.10 服务器版本。
Web 应用程序本身应该完全通过 https,根据我刚刚在这里提出的这个问题。此外,该网站有一个文件上传部分,现在通过 http post 完成,该文件最终通过单独的(不幸的是无线)接口传送到另一台计算机以处理实际处理。
因此,在向世界公开的实际网络接口上,我认为应该公开端口 80 和 443,仅此而已。正如我之前所说,80 应该重定向到 443。这是理智的吗?还有什么我不知道的,我应该激活其他一些端口吗?使用 ruby DRb 通过端口 9000 和 9001 将文件移动到处理系统,因此这些文件也需要打开,但只能在第二个接口上打开。
另外,我应该使用什么防火墙程序来处理这样的两个网络接口?这里列出了一些,但我不确定哪个适合提供网页,或者即使这是一个特例。
听起来不错,如果您仅提供 https 服务,那么您需要将其保持打开状态。但是,只有使用 root 帐户启动的应用程序才能侦听 1024 以下的端口,因此您有两个选择:
下面是如何进行端口转发(例如,您可以对 80 到 8080 进行相同的操作):
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
除此之外,无需打开任何其他互联网端口,只需确保其他接口上的 ssh 保持打开状态,以便您可以访问和管理服务器。
至于防火墙应用程序,iptables 是 ubuntu 自带的,只需使用它即可,不需要我说的任何其他花哨的工具。
| 归档时间: |
|
| 查看次数: |
21413 次 |
| 最近记录: |