Я использую тонкий веб-сервер для своего производственного приложения ruby-on-rails. У меня есть фрот-энд lighttpd для кластера из 3 серверов.
Все нормально, но все три сервера доступны из внешнего мира.
lighttp: port 80
thin1: port 3300
thin1: port 3301
thin1: port 3302
Как я могу ограничить доступ к своим тонким серверам из внешнего мира, разрешив доступ только из того же ящика ubuntu (localhost- 127.0.0.1)?
В моем файле конфигурации для тонкого сервера поле адреса установлено на 0.0.0.0. Я тестировал 127.0.0.1, но не работает.
Забывая на данный момент настройку веб-сервисов, тот факт, что вы не блокируете автоматически доступ ко всем портам на вашем сервере с помощью iptables
, и разрешать только те порты, которые вам нужны, вызывает беспокойство.
Итак, заблокируйте весь внешний доступ к серверу с помощью брандмауэра (iptables
), включая правила, обеспечивающие 127.0.0.1
всегда можно получить доступ ко всему. Затем вы можете найти время, чтобы узнать, как ограничить свои приложения, но начните с сетевого уровня.
Очевидно, сначала полностью протестируйте его, потому что вы не хотите блокировать себя.