Как можно отключить доступ по http и закрыть 80-й порт на Apache (Linux)?

Question

[CyMpak]

В ситуации когда используется только SSL соединения, особого смысла держать еще один порт думаю нет.

Comments

[lhav]

И в ситуации когда nginx висит на 80 порту, а Apache на 8080, как закрыть порт Apache для всех извне, оставив его только для nginx?

Answer 1

[justabaka]

Если есть вероятность, что кто-нибудь забудет про HTTPS и зайдет, просто введя адрес сайта, то из любви к пользователям имеет смысл сделать переадресацию.

А вообще:
1. Правим порты в /etc/apache2/ports.conf:

#Listen 80

2. правим виртхосты в /etc/apache2/sites-available:

<IfModule mod_ssl.c>
<VirtualHost example.com:443>
...
</VirtualHost>
</IfModule>

Comments

[justabaka]

Если в конфиг-файлах может быть накриворучено, то неплохо бы проверить:

grep -ir * Listen
grep -r * 80

[justabaka]

oh shi-
grep -r 80 /etc/apache2/*

Answer 2

[amario]

# listen 80

Answer 3

[Sergey]

оставьте порт 80 открытым, но сделайте безусловный редирект:
Redirect permanent / https://your.domain.ru/
Так будет удобнее, не нужно будет набирать https:// перед адресом.

Comments

[CyMpak]

Тоже об этом думал, только проблема в том, что собирается внутренний сервер под svn и redmine. Поэтому он скорее будет доступен по ip. По крайне мере лучше рассчитывать только на это.

[Sergey]

И в ситуации когда nginx висит на 80 порту, а Apache на 8080, как закрыть порт Apache для всех извне, оставив его только для nginx?

Тут проще. Директиву listen в apache изменяем на
listen 127.0.0.1:80
и в энджи меняем директиву

[Sergey]

сорри, криво отправилось
Директиву listen в apache изменяем на
listen 127.0.0.1:8080
и в энджи меняем директиву:

proxy_pass           http://localhost:8080;

[Sergey]

проблема в том, что собирается внутренний сервер под svn и redmine.

Тогда более тонко, при помощи mod_rewrite:
RewriteEngine On
RewriteRule ^http://your.domain.ru/ https://your.domain.ru/ [R]
по ip не будет срабатывать.

Answer 4

[R1nat]

И в ситуации когда nginx висит на 80 порту, а Apache на 8080, как закрыть порт Apache для всех извне, оставив его только для nginx?

С помощью iptables можно сделать так:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8080 -j DROP

Comments

[Sergey]

зачем? Просто апачу говорим
listen 127.0.0.1:8080

[R1nat]

Да, так проще. Но мы же знаем толк в извращениях :)

[Евгений]

можно сделать прозрачный редирект вместо дропа
iptables -A INPUT -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports НУЖНЫЙ_ПОРТ

Answer 5

[ainu]

Если хостинг на ispmanager, то добавить порт 8080 в раздел брэндмауэр/файервол.
Если нет, то самому гуглить iptables, или что-то другое из того, что стоит на сервере. Это в случае nginx с 8080.
Для всех остальных случаев, как правильно заметил amario, # listen 80

Comments

[ainu]

То есть найти в httpd.conf строку Listen 80 или Listen *:80 или Listen [ipadress]:80 и закомментировать её.

[justabaka]

Все бы хорошо, но вторая подзадача звучит, как «закрыть 80-й порт на Apache (Linux)», а не «закрыть 80-й порт в файрволле (Linux)».