使用 iptables 为 fastcgi 打开端口的正确方法

使用 iptables 为 fastcgi 打开端口的正确方法

我正在运行一个带有 nginx 和 fastcgi 的服务器。我使用 TCP 套接字进行 fastcgi,而不是 Unix 套接字,因为我读到过这种套接字的扩展性更好。fastcgi 服务器在 fastcgi://127.0.0.1:9000 上运行。我正在尝试弄清楚需要向 iptables 添加哪些规则以允许流量通过。我已经弄清楚了这么多:

-A INPUT -p tcp -m tcp -d 127.0.0.1 --dport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -s 127.0.0.1 --sport 8999 -m state --state NEW,ESTABLISHED -j ACCEPT

但我猜我还应该为 INPUT 规则指定源端口和源 IP,为 OUTPUT 规则指定目标端口和目标 IP(出于安全目的)。正确的值是什么?

我希望我的问题是有意义的。

答案1

这些就是所谓的环回 iptable 规则,如下所示。

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 

fast_cgi 端口是 php-fpm 和 web 服务器之间的内部端口。如果您想确保它是否是服务器的一部分,请阻止所有 ip 流量并通过运行任何 php 文件测试来测试您与服务器的 fast_cgi 连接。

你可以通过这种方式阻止你的流量:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

相关内容