ब्लॉक करते हैं मेरे पास iptables
नियम हैं जो पोर्ट 8080 पर पोर्ट 80 के लिए अनुरोधों को रीडायरेक्ट करते हैं (पोर्ट एसएसएल पोर्ट्स पर भी (और एसएसएल पोर्ट भी हैं लेकिन मैंने उन्हें सादगी के लिए छोड़ दिया है) ।आईपीटीबल्स 80 से 8080 पर रीडायरेक्ट करते हैं लेकिन सार्वजनिक 8080 एक्सेस
जबकि हमने जो कुछ किया है ठीक है (और मुझे व्यक्तिगत रूप से कोई समस्या नहीं है) पोर्ट 8080 बाहरी दुनिया के लिए भी खुला है अगर कोई इसे यूआरएल में निर्दिष्ट करना चाहता है। यह अनिवार्य है कि बंदरगाह 8080 बाहरी दुनिया से पहुंच से बंद होना चाहिए और केवल 80 खुले रहें।
मैं आवेदन सर्वर पर श्रोता को बदलने के लिए बंदरगाह पर 8080 की जरूरत है और श्रोता के स्रोत आईपी पता करने के लिए (के रूप में पोर्ट 80 इस अनुप्रयोग सर्वर चल उपयोगकर्ता के लिए ऊंचा अनुमति की आवश्यकता प्रतीत होता है उपयोग करने के लिए) की इच्छा नहीं आवेदन के रूप में पैकेट एप्लिकेशन के अनुरोधों का ऑडिट करता है (यानी हम स्रोत आईपी पते को स्थानीय में बदल नहीं सकते हैं)।
वर्तमान iptables
कॉन्फ़िगरेशन नीचे है। क्या किसी को पता है कि पोर्ट 80 से रीडायरेक्ट किए गए पैकेट में स्रोत आईपी को बनाए रखने के दौरान सार्वजनिक इंटरनेट से 8080 को अवरुद्ध करने का कोई तरीका है या नहीं?
अग्रिम में बहुत धन्यवाद।
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# allow establishment of connections initialised by my outgoing packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# accept anything on localhost
iptables -A INPUT -i lo -j ACCEPT
################################################################
#individual ports tcp
################################################################
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#drop everything else
iptables -A INPUT -j DROP
################################################################
#Redirection Rules
################################################################
# redirection rules (allowing forwarding from localhost)
iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080
# redirection http
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
आप पोर्ट 8080 को अवरुद्ध और httpd proxypass पर प्रसारण करने पर विचार किया? –
सुझाव के लिए धन्यवाद। वर्तमान में इस सर्वर पर कोई अपाचे या mod_proxy उपलब्ध नहीं है (जो मुझे समझ में आता है ..?), लेकिन स्पष्ट रूप से यदि यह iptables - या मानक लिनक्स पैकेज के साथ संभव नहीं है - तो मुझे लगता है कि यह देखने के लिए कुछ है। – lazidar