我将尽快尝试部署我的第一个Web应用程序,因此缺乏经验.我记得在某处看到机器人端口扫描在暴露于互联网的几分钟内发生(也许这就是
Windows 95系统遭受入侵需要多长时间,自从我阅读文章以来已经有一段时间了).这个特殊的服务器在amd64上运行Ubuntu 9.10服务器版.
根据这个问题I just asked here,网络应用程序本身应完全通过https.此外,该网站有一个文件上传部分,现在通过http post完成,该文件最终通过一个单独的(无线的,不幸的)接口进行耕种.另一台计算机来处理实际处理.
因此,在暴露于世界的实际网络接口上,我认为应该暴露端口80和443,而不是其他任何东西.正如我之前所说,80应该重定向到443.那是否理智?还有其他我不知道的东西,其他一些我应该活跃的端口吗?使用ruby DRb通过端口9000和9001将文件移动到处理系统,因此这些文件也需要打开,但仅限于第二个接口.
另外,我应该使用什么防火墙程序来处理这样的两个网络接口?有a few listed here,但我不确定哪个适合提供网页,或者即使这是一个特殊情况.
解决方法
听起来是对的,如果你只是服务https,那么那就是你需要保持开放的那个.但是,只有以root帐户启动的应用程序才能侦听1024以下的端口,因此您有两个选项:
>以root身份启动ruby应用程序 – 不是一个好主意
>让它落后于apache – 可能会更好,但取决于你想做什么,这可能只是额外的开销
>在不同的端口上运行ruby app作为其他用户,比如说8443并且有iptables来从443到8443的端口请求 – 我想这就是你想要做的
下面是你如何进行端口转发(你可以用80到8080做同样的事情):
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
除此之外,没有必要打开任何其他端口到互联网,只要确保你打开另一个界面上的ssh,这样你就可以访问和管理服务器.
对于防火墙应用程序,iptables附带ubuntu并且只是使用它,不需要任何其他花哨的工具我会说.
