如何使某些 TCP 端口仅供内部访问?

如何使某些 TCP 端口仅供内部访问?

我在端口 9000 - 9003 上运行了四个 Tornado 应用实例。我在前端使用 Nginx 作为负载均衡器。但是用户也可以访问这些端口,例如 mysite:9000 也可以访问。

那么如何禁用外部访问并使其仅可供 nginx 访问?

以下是我的/etc/nginx/nginx.conf内容:

user nginx;
worker_processes 5;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

events {
    worker_connections 1024;
    use epoll; 
}

http{

    proxy_next_upstream error;

    upstream tornadoes { 
        server 127.0.0.1:9000;
        server 127.0.0.1:9001;
        server 127.0.0.1:9002;
        server 127.0.0.1:9003;
    }

    include /etc/nginx/mime.types;
    default_type application/octet-stream;  

    access_log /var/log/nginx/access.log;

    keepalive_timeout 65;
    proxy_read_timeout 200;
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    gzip on;
    gzip_min_length 1000;
    gzip_proxied any;
    gzip_types text/plain text/html text/css text/xml application/x-javascript application/xml application/atom+xml text/javascript;


    server { 
        listen 80;
        server_name example.in www.example.in;

        location /static/ {
            root /home/magneto/torapp; 
            if ($query_string) {
                expires max; 
            }
        }
        location / {
            proxy_pass_header Server; 
            proxy_set_header Host $http_host; 
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr; 
            proxy_set_header X-Scheme $scheme; 
            proxy_pass http://tornadoes;
        } 
    }
}

答案1

这是你无法实现的。如果你决定通过 TCP 在 nginx 和你的应用程序之间进行通信,localhost 将始终能够访问端口 - 这就是 nginx 所采用的方式。

您可以重新配置它以使用套接字,但是这需要从您的应用程序 nginx 作为反向代理开始。

相关内容