Tuyên bố miễn trừ trách nhiệm: Tôi không phải là quản trị viên, mà là một lập trình viên, người không sử dụng iptable nhiêu đó chưa.
tôi đang dùng mod_jk với AJP13 để hướng lưu lượng dữ liệu nhất định từ Apache sang Tomcat. Ngoài ra, tôi đang cố gắng khá cụ thể trong các quy tắc tường lửa trên máy chủ.
tôi đang nói về máy chủ cục bộ -> máy chủ cục bộ lưu lượng truy cập ở đây, chỉ các kết nối đến cho các cổng như :443 hoặc :22 nên được tường lửa chấp nhận mà không chỉ định giao diện cho chúng ở đó.
Hiện tại tôi đang sử dụng quy tắc này
$ Sudo iptables -L -v --line-numbers
Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
num pkts byte target prot opt in out đích nguồn
7 358 1702K CHẤP NHẬN tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ trạng thái nào LIÊN QUAN,THÀNH LẬP
(Khá nhiều lưu lượng truy cập được xử lý theo quy tắc này, khi tôi đọc đúng dòng này: 1702K byte, con số cao nhất cho tất cả các quy tắc.) Quy tắc này có ý nghĩa chi tiết là gì và tại sao nó cho phép loại lưu lượng truy cập này, vì nhà nước LIÊN QUAN?
Khi tôi tắt quy tắc này, các quy tắc khác cho Cổng của Apache và Tomcat sẽ không được áp dụng và người dùng (hoặc yêu cầu của họ) sẽ hết thời gian chờ.
Quy tắc của tôi cho việc này:
num pkts byte target prot opt in out đích nguồn
9 0 0 CHẤP NHẬN tcp -- lo mọi nơi mọi lúc mọi nơi tcp dpt:8009
Nó là không sử dụng đúng?
Ngay cả một quy tắc ít cụ thể hơn cho giao diện lo không hoạt động. Tôi đã thêm nó với iptables -I INPUT 15 -i lo -m conntrack --ctstate ĐÃ THÀNH LẬP, LIÊN QUAN -p tcp -j CHẤP NHẬN.
Tôi đang làm gì sai ở đây, tôi có cần thêm chuỗi AJP hoặc một giao thức khác cho quy tắc của mình không?
