ShamblerR: nginx отпадает, потому что нужно изолировать пользователей, так же нужно защитить сам пхп, из гугла и форумов я вычитал что mod_apache использует одного пользователя для всех, в случае fastcgi каждому пользователя указывается свой файл настроек с правами.
задача состоит в следующем, построить рабочий более менее защищенный хостинг, не уступающий в производительности nginx-php-fpm
можно было бы использовать и чистый nginx, но пока я профан в переводе .htaccess в конфигурацию nginx, и это лишний геморрой, да и пользователи которые слышат что нет htaccess реагируют не адекватно)
Игорь: так же сделал как вы советовали: iptables-save > /etc/iptables.saved
echo 'iptables-restore < /etc/iptables.saved' > /etc/network/if-up.d/iptables
chmod u+x /etc/network/if-up.d/iptables
но он по прежнему отказывается восстанавливать правила, я прописывал в /etc/network/interfaces и все равно он их не поднимает, хотя в Debian все отлично
Игорь: Столкнулся со следующей проблемой, после активации iptables и сохранение его правил, нужно было установить пару пакетов через apt-get
но он выдает:
root@regis-web:/home/sality# apt-get install iotop
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
iotop
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 23.8 kB of archives.
After this operation, 127 kB of additional disk space will be used.
0% [Connecting to archive.ubuntu.com]^
вот листинг конфига iptables:
root@regis-web:/home/sality# cat /etc/iptables.saved
# Generated by iptables-save v1.4.21 on Sat Feb 21 06:47:53 2015
*mangle
:PREROUTING ACCEPT [721:58991]
:INPUT ACCEPT [721:58991]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [494:56398]
:POSTROUTING ACCEPT [494:56398]
COMMIT
# Completed on Sat Feb 21 06:47:53 2015
# Generated by iptables-save v1.4.21 on Sat Feb 21 06:47:53 2015
*filter
:INPUT DROP [11:636]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5:1896]
-A INPUT -i venet0 -p tcp -m tcp --dport 2422 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 993 -j ACCEPT
COMMIT
# Completed on Sat Feb 21 06:47:53 2015
Игорь: sality@regis-web:~$ sudo sh ./iptables.sh
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.21: unknown option "--p"
Try `iptables -h' or 'iptables --help' for more information.
после того как переместил его в конец
Игорь: с такой проблемой только на ubuntu столкнулся, вот вывод:
sality@regis-web:~$ ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: venet0: mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet 127.0.0.2/32 scope host venet0
inet 62.109.13.57/32 brd 62.109.13.57 scope global venet0:0
Игорь: sality@regis-web:~$
и вот еще часто сталкиваюсь с такой проблемой, в Debian 7 не каких проблем не было, а на Ubuntu 14.04 вот такие вот дела,эх нужно учить iptables, и не быть нубом =(
sudo sh ./iptables.sh
iptables: No chain/target/match by that name.
вот такая проблема после использования скрипта
iptables: No chain/target/match by that name.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.