我在面向公众的服务器上托管一个网站。在这个网站上,我希望有尽可能严格的防火墙规则;这种方法的一部分涉及按端口列入白名单。
我已经向几个受信任的地址开放了 SSH,并且我已经配置iptables
为允许来自 HTTP 和 HTTPS 上任何位置的流量,但总体DROP
策略是INPUT
。
现在,我正在尝试为指向该框的域设置 Let's Encrypt,但它始终挂起,直到我iptables --policy INPUT ACCEPT
在证书签名期间运行。
这很令人困惑,因为据我所知:
- 证明在某个指定的子目录中生成
/var/www/
acme-tiny
letsencrypt.org
通过 HTTPS发送签名请求至- 执法部门的服务器通过 HTTP 从该目录获取证据
...所以唯一需要打开的端口是 80 和 443。
如上所述,脚本会挂在它尝试验证的第一个域上(直到超时),除非我将全局INPUT
策略设置为ACCEPT
,理想情况下,我想避免这种情况。
列入白名单后仍然存在此问题全部letsencrypt.org
来自、acme-staging.api.letsencrypt.org
和 的流量acme-v01.api.letsencrypt.org
我应该将哪些其他端口和域以及哪些链列入白名单,以便acme-tiny
在需要续订时可以定期访问 LE 服务器?