FreeBSD: перенаправление всего трафика с 80 на 8080 порт

Question

[Snowindy]

В наличии:
— сервер FreeBSD 9.0,
— веб-сервер, работающий на порту 8080 (от обычного пользователя, так безопаснее).

Хочется, чтобы веб-сервер был доступен с порта 80.

Так как для непривилегированных пользователей порты ниже 1024 недоступны, в интернетах прочитал, что наиболее разумным решением будет просто перенаправить весь трафик с порта 80 на 8080.

Как это сделать минимальными усилиями для FreeBSD?

Comments

[Snowindy]

Техподдержка подсказала разумный выход из положения — включить nginx и перенаправить трафик с его помощью.

Answer 1

[Сергей Петриков]

Средствами IPFW

add номер правила fwd 127.0.0.1,8080 tcp from any to me dst-port 80

Средствами PF

rdr on $ext_if proto tcp from any to me port 80 -> 127.0.0.1 port 3129

Comments

[Сергей Петриков]

Для PF конечно же

rdr on $ext_if proto tcp from any to me port 80 -> 127.0.0.1 port 8080

не сменил порт.

[Snowindy]

После этих команд изменениях сохранятся после рестарта сервера?
Если нет, как это сделать?

[Сергей Петриков]

Эти команды задаются в конфигах фаирволов. Обе вводить не нужно, только для того фаирвола, который используется на сервере.
Конфиг IPFW обычно лежит в /etc/rc.firewall, конфиг для PF /etc/pf.conf, но если вы такие вопросы задаете, мне кажется рановато Вам с FreeBSD работать, учитывая изврат с вебсервером.

[Snowindy]

Что такое не-изврат в вашем понимании?
Задачи решаю я такие:
1) Чтобы потенциальные хакеры не сломали весь сервер, пользователь веб-сервера не должен быть привелегированным
2) Стандартное ограничение безопасности «порт не ниже 1024» изменять не хочу, я не настолько осведомлен о последствиях

[Сергей Петриков]

Во первых, пользовательские процессы веб сервера (кстати какого?) обычно работают от непривилегированного пользователя, от root работает только мастер-процесс, к которому через дыру в движке сайта не попасть:
Пример для Apache:

ps aux | grep http
root    3987   0.0  0.2 212748  15500  ??  Ss   Mon03PM     0:08.17 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    45113   0.0  0.3 212748  15840  ??  I     9:46AM     0:00.02 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    73715   0.0  0.4 216844  22784  ??  I    Tue11PM     0:14.07 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    75658   0.0  0.4 220940  23384  ??  I    Thu07AM     0:08.29 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    76317   0.0  0.4 216844  22752  ??  I    Thu07AM     0:08.46 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    84804   0.0  0.4 216844  22744  ??  I    Thu07AM     0:08.49 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    88053   0.0  0.4 216844  22748  ??  S    Thu07AM     0:08.26 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    95157   0.0  0.4 216844  22780  ??  I    Wed07AM     0:11.28 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    95158   0.0  0.4 216844  22772  ??  I    Wed07AM     0:12.13 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    95166   0.0  0.4 216844  22748  ??  I    Wed07AM     0:10.75 /usr/local/sbin/httpd -DNOHTTPACCEPT
www    95428   0.0  0.4 216844  22760  ??  I    Wed07AM     0:11.43 /usr/local/sbin/httpd -DNOHTTPACCEPT

Пример для nginx
ps aux | grep nginx

root      9994  0.0  0.1  30292  1116 ?        Ss   May08   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
www-data  9997  0.0  0.2  31336  2644 ?        S    May08   0:06 nginx: worker process
www-data  9998  0.0  0.2  31036  2436 ?        S    May08   0:06 nginx: worker process
www-data  9999  0.0  0.2  31336  2640 ?        S    May08   0:08 nginx: worker process
www-data 10000  0.0  0.2  31340  2624 ?        S    May08   0:08 nginx: worker process

Так что то, чем занимаетесь Вы, простите, онанизм.
Чтобы хакеры не сломали веб-сервер, обычно принято проводить пинтестирование, настраивать фаирвол, file2ban, политики безопасности, etc. В крайнем случае использовать песочницы (jail в случае с FreeBSD) но не городить аццкие костыли с перенаправлением трафика даже не зная принципы работы стандартных фаирволов. Ошибка многих начинающих админов придумать «мегакрутой» способ борьбы, который на практике просто не будет работать.

Но это ИМХО, по перенаправлению я на Ваш вопрос ответил, хотите мучаться — дело ваше.

[Snowindy]

Да, я знаю, что стандартный апач каждый сайт заускает с его пользователем.
сервер — апач томкат, лежащий полностью в папке пользователя. Почему так? Потому что через пару месяцев могу сменить хостинг, и не хочу к нему как-либо привязыватьс? я.

Зачем эти ярлыки? «Онанизм», «вам рано»
Я разработчик веб приложенией, не админ и не хочу им стать.
я запускаю свой проект минимальными средствами, поэтому приходится все делать самому, к сожалению.

[Сергей Петриков]

А к чему Вы там можете привязаться? Меняем хостинг — перетащили БД + файлы движка, изменения конфигов веб сервера и все проблемы. Не хотите стать админом, так не становитесь, пример редиректа выше, просто Ваше решение мягко говоря не оптимально.

[Snowindy]

Спасибо за ваш ответ, это в любом случае «решение» вопроса выше :)

Answer 2

[sumjohn]

Почему бы не перебиндить вебсервер на 80-ый порт? Перенаправление, имхо, только ресурсы без толку жрать будет…

Comments

[Snowindy]

Потому что Permission Denied для всех портов, ниже 1024 для не-root пользователей.

Answer 3

[middle]

Обычно сервера делают bind на 80-й порт, а потом сбрасывают привелегии и работают от обычного пользователя. Apache и nginx работают именно так…

Comments

[Алексей]

Не мешайте человеку изобретать свой велосипед с квадратными колесами:)

[middle]

У него торчит наружу голый томкат, который менять юзера пока не умеет (по крайней мере я не в курсе).

[Snowindy]

И мог торчать любой другой веб-контейнер, поэтому и дан абстрактный «веб-сервер на 8080». Может, он вообще самописный…
От этого вопроса возникло ощущение, что набежали специалисты по обустройству php-сайтов, подумали о своих реалиях, назвали велосипедом и убежали…
Техподдержка посоветовала просто правило nginx сконфигурировать, что я и сделал.