Nginx как reverse proxy

Question

[Kir Shatrov]

Поставил, настроил — Apache теперь висит на 8080 порту.
Как закрыть этот порт, чтобы никто не имел прямого доступа к Апачу?
ОС — Ubuntu Server 10.04

Answer 1

[lazyk]

пропишите Listen только 127.0.0.1

Listen 127.0.0.1:8080

Comments

[Kir Shatrov]

Это ведь глобальная директива?
У меня есть виртуальные хосты, которые смотрят наружу через nginx, а есть и те, на которые заходят напрямую.

[lazyk]

отдавайте все через Nginx так правильнее и надежнее

[lazyk]

прячьте за nginx все вхосты, зачем вам отдавать одни так, а другие этак?

Answer 2

[Sergey]

Ни к чему все эти городульки с iptables, выглядит это как если бы вы сделали в доме окно, чтобы потом заколотить его досками. Подсказанная выше директива listen — наиболее правильный способ.

Answer 3

[xaker1]

Ну или на уровне фаервола.
iptables -t filter -A INPUT -i eth0 -p tcp --dport 8080 -j DROP
для удаления правила
iptables -t filter -D INPUT -i eth0 -p tcp --dport 8080 -j DROP
*За синтаксис не ручаюсь, iptables не использую, гугл подсказал эти команды
Возможно вместо eth0 нужно будет другой интерфейс указать.

Comments

[Kir Shatrov]

Спасибо!

[librarian]

А ещё можно просто сделать так, чтобы апач слушал на 127.0.0.1, а не на 0.0.0.0

[xaker1]

Можно, но не всегда подходит. Например «хитрые» панели управления, которые прописывают ip принудительно, и с этим ничего не сделать.

[impass]

Например «хитрые» панели управления, которые прописывают ip принудительно, и с этим ничего не сделать.

Яркий пример — ISPmanager, с его просто невъебенно ущербными и неизменяемыми шаблонами конфигов всего и вся.
Приходится закрывать порты Apache фаерволлом, что делать…

[xaker1]

я ISPmanager и подразумевал.

[Alexander Yankovskiy]

Для таких хитрых тулз есть не менее хитрый болт: создаётся виртуальный интерфейс с адресом 10.11.12.13 и на него закручиваются все панели и апачи. Получается тот же локалхост, только сбоку.

[xaker1]

создаётся виртуальный интерфейс с адресом 10.11.12.13 и на него закручиваются все панели и апачи.

Не всегда применимо. Для хостинга (если еще и предоставлять выделенные ip) — совсем не вариант. Думаю, объяснять почему не надо.

Answer 4

[angelov]

Если на линуксе можно в iptables
iptables -A INPUT -p tcp -s [АЙПИ.НДЖИНКСА] --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP

Первым правилом вы разрешаете пакеты, приходящие от nginx-а. У вас он может быть 127.0.0.1 или какой другой. Вторым вы запрещаете все остальные пакеты

Answer 5

[Tucker56]

Для убунты используется обертка над iptables — ufw.
Поэтому закрыть этот порт можно так sudo ufw deny 8080.

Comments

[Kir Shatrov]

-bash: ufw: command not found

[Tucker56]

sudo apt-get install ufw