Как закрыть для внешнего просмотра порт в nginx?

Question

[friktor]

У меня на порту 3333 крутится запущенное веб-приложение, в nginx через proxy_pass указан путь чтобы его слушать, необходимо чтобы доступ был непосредственно только к сайту - и чтобы нельзя было зайти на этот сайт через http://ip_address:3333.
Как это сделать в конфигурационном файле?

Answer 1

[Сергей Петриков]

Вариант 1: Повесить на локалхосте, тогда из мира доступа не будет.
Вариант 2: Запретить на фаирволе, но первый вариант более правильный.
Вариант 3: Разрулить политиками SELinux, разрешив доступ к порту только определенным приложениям, но первый вариант менее геморройный.

Comments

[friktor]

Приложение nodejs - в нем прописывается только порт. Что по вашему значит повесить на localhost? Тут как не изголяйся, а что делать не понятно.

[Сергей Петриков]

@friktor: Простите, но вы некомпетентны как системный администратор, обратитесь к компетентному специалисту, я не знаю как еще подробней описать. Вешаем приложение на localhost:3333, затем в nginx в качестве proxy_pass указываем localhost:3333 и все к вашему nodejs имеет доступ ТОЛЬКО локальный nginx. Если nginx и nodejs находятся на разных серверах, то запрещаем доступ на фаирволе к к порту 3333 для всех, кроме адреса сервера с nginx. Еще подробней, простите, описать не могу.

[Сергей Петриков]

@friktor: Да и что значит нельзя повесить на локалхост, только порт, а это что:
server.listen(7000, "localhost");

Answer 2

[Glueon]

Повесьте приложение не только на 3333 порт, но и при этом на 127.0.0.1

Comments

[friktor]

Мне нужно чтобы этот порт был доступен только nginx, если приложение есть на этом порту то на него соответственно может зайти любой - если не закрыть канал или поставить ограничитель. Ваш ответ ни о чем.

[Glueon]

Если приложение bind-ится на 127.0.0.1 как к нему можно получить доступ извне если единственная вещь, проксирующая на нее запросы - это nginx?
Ваша задача непонятна. Вы хотите чтобы и локально на вашем сервере ничего не могло обратиться на 3333 порту кроме nginx?

[friktor]

@Glueon: есть сайт (веб-приложение), которое работает на порт 3333, при этом есть nginx который слушает этот порт и транслирует для доступа к сайту через домен. Но при этом порт 3333 доступен любому - просто нужно ввести ip адрес и порт. Я хочу чтобы доступ к сайту был только через работающий nginx, и если кто-то заходил на ip и порт - он не смог этого сделать - что непонятного?

[Glueon]

Повесьте его на localhost, тогда http://вашIP:3333 работать не будет. Чем первый ответ не удовлетворил я не понимаю.

[friktor]

@Glueon: localhost is 127.0.0.1

[Glueon]

Я в курсе, спасибо :)

Answer 3

[Сергей Протько]

Поставить правило в iptables что бы дропались все пакеты пришедшие с внешки на этот порт (в идеале у вас должны быть доступны с внешки только 80-ый, 443-ий и 22 порты + те что нужны непосредственно для работы со сторонними сервисами, типа пушей и тд)