Я запускаю сервер с nginx и fastcgi. Я использую сокеты TCP для fastcgi, а не сокеты Unix, поскольку я читал, что это лучше масштабируется. Сервер fastcgi работает на fastcgi: //127.0.0.1: 9000. Я пытаюсь понять, какие правила мне нужно добавить в iptables, чтобы пропустить трафик. Я понял вот что:
-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
Но я предполагаю, что я также должен указать порт источника и IP-адрес источника для правила INPUT, а также порт назначения и IP-адрес назначения для правила OUTPUT (в целях безопасности). Какие для этого будут правильные значения?
Я надеюсь, что мой вопрос имеет смысл.
Это то, что называется правилами iptable loopback, как показано ниже.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Порт fast_cgi - это внутренний порт между php-fpm и веб-сервером. если вы хотите убедиться, что он является частью сервера или нет, заблокируйте весь IP-трафик и проверьте соединение fast_cgi с вашим сервером, запустив любой тест файла php.
вы можете заблокировать свой трафик следующим образом:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP