Я размещаю веб-сайт на общедоступном сервере. На этом веб-сайте я хотел бы иметь как можно более строгие правила брандмауэра; часть этого подхода включает внесение в белый список портов.
Я открыл SSH для нескольких доверенных адресов и настроил iptables чтобы разрешить трафик из любого места по HTTP и HTTPS, но с общим DROP политика в отношении INPUT.
Теперь я пытаюсь настроить Let's Encrypt для домена, который указан в этом поле, но это всегда зависает, пока я не запустил iptables --policy INPUT ACCEPT на время подписания сертификата.
Это вызывает недоумение, поскольку, насколько я могу судить:
/var/www/acme-tiny отправляет запрос на подпись letsencrypt.org через HTTPS... Итак, единственные порты, которые должны быть открыты, - это 80 и 443.
Как описано выше, сценарий зависает в самом первом домене, который он пытается проверить (до тех пор, пока не истечет время ожидания), если я не установил свой глобальный INPUT политика к ACCEPT, чего в идеале я бы хотел избежать.
Это сохраняется после добавления в белый список все трафик из letsencrypt.org, acme-staging.api.letsencrypt.org, и acme-v01.api.letsencrypt.org
Какие еще порты и домены и в каких цепочках следует внести в белый список, чтобы разрешить acme-tiny иметь регулярный доступ к серверам LE при необходимости продления?