Puncte:1

Blocarea tuturor porturilor, cu excepția celor 80 și 443, cu cloudflare

drapel jp

Încerc să blochez toate porturile, cu excepția celor 22, 80 și 443. Am adăugat următoarele reguli la iptables.

*filtru
:INPUT ACCEPT [36878:18003219]
: FORWARD ACCEPT [0:0]
: ACCEPT IEȘIRE [33947:26518456]
-A INPUT -m stare --stare ESTABLISHED,RELATED -j ACCEPT
-A INTRARE -s MY_IP -p tcp -m tcp --dport 22 -j ACCEPT
-A INTRARE -p tcp -m tcp --dport 80 -j ACCEPT 
-A INTRARE -p tcp -m tcp --dport 443 -j ACCEPT 
-A INTRARE -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INTRARE -j CĂDERARE
COMMIT

Portul 22 funcționează, dar Cloudflare nu se poate conecta la serverul web. -A INTRARE -j CĂDERARE cauzează problema. De fapt, conexiunea 443 nu se potrivește cu o regulă până la sfârșitul listei.

Michael Hampton avatar
drapel cz
Ce eroare specifică a dat CloudFlare?
drapel jp
@MichaelHampton 504 Gateway expiră.
Michael Hampton avatar
drapel cz
Văd că încă nu ați activat ICMP în firewall. Chiar ar trebui să faci asta.
drapel jp
@MichaelHampton eroarea comună CloudFlare că suntem conectați la serverul Cloudflare, dar Cloudflare nu se poate conecta la gazdă.
drapel jp
@MichaelHampton Am presupus că am făcut-o deja. Cum ar trebui să fac asta?
Michael Hampton avatar
drapel cz
Ai activat doar ping-urile. Ar trebui să activați toate ICMP, nu doar un anumit tip.
drapel jp
@MichaelHampton te referi la `iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT`? Nu a avut nici un efect!
Michael Hampton avatar
drapel cz
OK, acum facem progrese. Singura altă problemă majoră pe care o văd în firewall este că nu ați permis traficul localhost. Acest lucru va întrerupe o mare varietate de servicii (cum ar fi apache sau nginx care vorbește cu un server de aplicații web). De asemenea, rezultă eroarea 504 Gateway Timeout.
drapel jp
@MichaelHampton te referi la `iptables -A INPUT -i lo -j ACCEPT`. Dacă da, mă simt prost. Am încercat asta și a funcționat, dar l-am eliminat deoarece am crezut că inversează efectul lui `-A INPUT -j DROP` din cauza `ACCEPT all -- oriunde oriunde DROP all -- oriunde oriunde ` Acum că mă gândesc, regula `DROP` este după regula `ACCEPT` și ar trebui să blocheze orice altceva.
drapel jp
@MichaelHampton Nu am întâlnit o pagină care să sublinieze necesitatea de a ACCEPT traficul localhost. Dacă postați sfatul dvs. ca răspuns, acesta poate ajuta și pe altcineva.
Puncte:1
drapel cz

Deci, după o sesiune lungă de comentarii, iată ce am adunat:

Când ați activat firewall-ul personalizat, CloudFlare a raportat un Timeout 504 Gateway. Dar, în special, a spus că aceasta a fost eroarea pe care a primit-o de la serverul dvs., nu că a expirat în încercarea de a ajunge la serverul dvs. Diferența este subtilă, dar importantă: asta înseamnă că CloudFlare vorbea bine cu serverul tău, dar serverul tău nu vorbea singur.

Aveți un server web care trimite proxy la o aplicație web internă care rulează pe localhost. Dar firewall-ul dvs. personalizat nu permitea conexiuni localhost. Acest lucru este necesar pentru ca serverul web să vorbească cu aplicația web, precum și pentru atât de multe alte servicii interne pentru a vorbi între ele, încât fiecare constructor de firewall profesionist pe care îl puteți folosi vreodată va permite pur și simplu traficul localhost fără îndoială.

(PS: Ar trebui să lăsați ICMP activat pentru a preveni alte tipuri de rupere, cum ar fi Path MTU Discovery.)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.