Как настроить iptables для доступа к сайту только с одного адреса?

mureevms, Нашел в логах nginx

2020/12/11 14:39:18 [error] 32589#0: *1556 upstream timed out (110: Connection timed out) while connecting to upstream, client: xxx.xxx.xxx.xxx, server: pbx.xxx.ru, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:80/", host: "pb
x.xxx.ru"

понял, что нет ответа от локалхост
добавил правило
-A INPUT -p tcp -s 127.0.0.1/32 -j ACCEPT

Заработало.
Теперь пускает только то ip, которым открыт доступ по 443 и 80 порту

Как настроить iptables для доступа к сайту только с одного адреса?

hint000, Спасибо, был не в курсе

Как настроить iptables для доступа к сайту только с одного адреса?

домен заменил на yyy
ip тоже, адрес указан белый сервера

Как настроить iptables для доступа к сайту только с одного адреса?

server {
listen y.y.y.y:80;

server_name pbx.yyy.ru;

root /var/www/html;

location /.well-known {}

location / {
return 301 https://$host$request_uri;
}
}

server {
listen y.y.y.y:443 ssl;

server_name pbx.yyy.ru;

root /var/www/html;
index index.php;

error_log /var/log/nginx/pbx.yyy.ru-error.log;

proxy_redirect off;

client_max_body_size 128m;
client_body_buffer_size 128k;
<------>
proxy_connect_timeout 15;
proxy_send_timeout 90;
proxy_read_timeout 300;

proxy_buffer_size 64k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
....
location / {
<------>expires off;

<------>access_log /var/log/nginx/pbx.yyy.ru-apache.log main;
<-->proxy_pass 127.0.0.1;<-->....
}

ssl_certificate /etc/letsencrypt/live/pbx.yyy.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pbx.yyy.ru/privkey.pem;

ssl_session_timeout 5m;
....
#ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256
....
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
}

Как настроить iptables для доступа к сайту только с одного адреса?

mureevms, В какую сторону смотреть? сертификат прикручивал другой человек

Как настроить iptables для доступа к сайту только с одного адреса?

mureevms, это если файервол включен - то да. Я его отключил. Iptables работает корректно,в части ssh например.

Как настроить iptables для доступа к сайту только с одного адреса?

mureevms, Спасибо, прочитал статью. К сожалению, не вижу, где у меня ошибка.
Идентичные правила работают на другом сервере, отличие только в сертификате.
Я чуть позднее скинул вывод правил по порядку. Вроде, ошибки нет

Как настроить iptables для доступа к сайту только с одного адреса?

так выглядит вывод iptables -L -v
14 2197 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere
33 1824 DROP tcp -- any any anywhere anywhere tcp dpt:http
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:81
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:xfer
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:mit-ml-dev
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:ctf
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:85
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere tcp dpt:https
0 0 DROP tcp -- any any anywhere anywhere tcp dpt:radan-http
14 728 DROP tcp -- any any anywhere anywhere tcp dpt:mysql
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX1 anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any XXX.XXX.XXX.XXX2 anywhere tcp dpt:ssh
1 40 DROP tcp -- any any anywhere anywhere tcp dpt:ssh

Как настроить iptables для доступа к сайту только с одного адреса?

Посмотрел по логам wireshark, используются порты 80 и 443, и помимо tcp ещё и tls. Думаю, проблема как раз в tls

Как настроить iptables для доступа к сайту только с одного адреса?

504 Gateway Time-out - от Nginx такая ошибка
для 22 порта (SSH) правила работают

Как настроить iptables для доступа к сайту только с одного адреса?

-A OUTPUT -m tcp -p tcp --dport 80 -s XXX.XXX.XXX.XXX/32 -j ACCEPT
-A OUTPUT -s XXX.XXX.XXX.XXX/32 -j ACCEPT
добавил - результата нет

Как настроить iptables для доступа к сайту только с одного адреса?

-A INPUT -m tcp -p tcp --dport 443 -s XXX.XXX.XXX.XXX/32 -j ACCEPT
есть и такая строка
насколько я понимаю - моя первая строка - -A INPUT -s XXX.XXX.XXX.XXX/32 -j ACCEPT разрешает для этого адреса все порты и протоколы