Điểm:1

Chặn tất cả các cổng trừ 80 và 443 bằng cloudflare

lá cờ jp

Tôi cố gắng chặn tất cả các cổng ngoại trừ 22, 80 và 443. Tôi đã thêm các quy tắc sau vào iptables.

*lọc
:CHẤP NHẬN ĐẦU VÀO [36878:18003219]
:CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [33947:26518456]
-A INPUT -m state --state ĐÃ THÀNH LẬP,LIÊN QUAN -j CHẤP NHẬN
-A INPUT -s MY_IP -p tcp -m tcp --dport 22 -j CHẤP NHẬN
-A INPUT -p tcp -m tcp --dport 80 -j CHẤP NHẬN 
-A INPUT -p tcp -m tcp --dport 443 -j CHẤP NHẬN 
-A INPUT -p icmp -m icmp --icmp-type 8 -j CHẤP NHẬN 
-A INPUT -j DROP
LÀM

Cổng 22 đang hoạt động nhưng Cloudflare không thể kết nối với máy chủ web. -A INPUT -j DROP gây ra vấn đề. Trên thực tế, kết nối 443 không khớp với quy tắc cho đến cuối danh sách.

Michael Hampton avatar
lá cờ cz
CloudFlare đã đưa ra lỗi cụ thể nào?
lá cờ jp
@MichaelHampton 504 Hết thời gian chờ cổng.
Michael Hampton avatar
lá cờ cz
Tôi thấy rằng bạn vẫn chưa kích hoạt ICMP trong tường lửa của mình. Bạn thực sự nên làm điều đó.
lá cờ jp
@MichaelHampton lỗi CloudFlare phổ biến là chúng ta đã kết nối với máy chủ Cloudflare, nhưng Cloudflare không thể kết nối với máy chủ.
lá cờ jp
@MichaelHampton Tôi cho rằng mình đã làm được rồi. Làm thế nào tôi nên làm điều này?
Michael Hampton avatar
lá cờ cz
Bạn chỉ kích hoạt ping. Bạn nên kích hoạt tất cả ICMP, không chỉ một loại cụ thể.
lá cờ jp
@MichaelHampton ý bạn là `iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT`? Nó không có tác dụng!
Michael Hampton avatar
lá cờ cz
OK, bây giờ chúng tôi đang tiến bộ. Vấn đề lớn duy nhất khác mà tôi thấy trong tường lửa là bạn không cho phép lưu lượng máy chủ cục bộ. Điều này sẽ phá vỡ nhiều loại dịch vụ (chẳng hạn như apache hoặc nginx nói chuyện với máy chủ ứng dụng web). Nó cũng dẫn đến lỗi 504 Gateway Timeout.
lá cờ jp
@MichaelHampton ý bạn là `iptables -A INPUT -i lo -j ACCEPT`. Nếu có, tôi cảm thấy ngu ngốc. Tôi đã thử điều này và nó đã hoạt động, nhưng tôi xóa nó vì tôi nghĩ nó hoàn nguyên tác dụng của `-A INPUT -j DROP` vì `CHẤP NHẬN tất cả -- mọi nơi mọi nơi DROP all -- mọi nơi mọi nơi ` Bây giờ tôi nghĩ rằng, quy tắc `DROP` nằm sau quy tắc `CHẤP NHẬN` và nên chặn mọi thứ khác.
lá cờ jp
@MichaelHampton Tôi không gặp phải trang nào nhấn mạnh sự cần thiết của việc CHẤP NHẬN lưu lượng truy cập máy chủ cục bộ. Nếu bạn đăng lời khuyên của mình dưới dạng câu trả lời, nó cũng có thể giúp ích cho người khác.
Điểm:1
lá cờ cz

Vì vậy, sau một phiên bình luận dài, đây là những gì chúng tôi đã tổng hợp lại:

Khi bạn bật tường lửa tùy chỉnh của mình, CloudFlare đã báo cáo Thời gian chờ cổng 504. Nhưng đáng chú ý, nó nói rằng đó là lỗi mà nó nhận được từ máy chủ của bạn, không phải là nó đã hết thời gian cố gắng truy cập máy chủ của bạn. Sự khác biệt là nhỏ nhưng quan trọng: Điều này có nghĩa là CloudFlare đang giao tiếp tốt với máy chủ của bạn, nhưng máy chủ của bạn không giao tiếp với chính nó.

Bạn có một máy chủ web ủy quyền cho một ứng dụng web nội bộ đang chạy trên máy chủ cục bộ. Nhưng tường lửa tùy chỉnh của bạn không cho phép kết nối máy chủ cục bộ. Điều này là cần thiết để máy chủ web giao tiếp với ứng dụng web, cũng như để rất nhiều dịch vụ nội bộ khác giao tiếp với nhau, rằng mọi trình xây dựng tường lửa chuyên nghiệp mà bạn từng sử dụng sẽ chỉ cho phép lưu lượng truy cập máy chủ cục bộ mà không cần thắc mắc.

(PS: Bạn nên bật ICMP để ngăn các loại hỏng hóc khác, chẳng hạn như Khám phá đường dẫn MTU.)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.