Ограничение доступа к порту

Материал из Викиреальностя
Перейти к: навигация, поиск

Ограничение доступа к порту — запрет соединяться на определенный порт. Наиболее типичным случаем применения ограничения доступа является разрешение соединяться с бекендом или сервером базы данных только определенным IP-адресам, соответствующим серверам фронтендов, для избежания denial of service атаки на бекенд.

Ниже приведены конкретные примеры ограничения доступа с использованием различных firewall, команды вводятся в консоли. Данные команды запретят соединяться с портом PORT со всех IP-адресов, за исключением localhost и определенных IP SERVER_IP, которым соединение необходимо для работы с бекендом. Соединения от всех остальных источников будут безусловно отклоняться.

При вводе команд важно сохранить их последовательность, так как они интерпретируются по порядку до первого срабатывания.

[править] iptables

При помощи iptables: 

  iptables -t filter -A INPUT -p tcp -s 127.0.0.1 --dport {PORT} -j ACCEPT
  iptables -t filter -A INPUT -p tcp -s {SERVER_IP} --dport {PORT} -j ACCEPT
  iptables -t filter -A INPUT -p tcp --dport {PORT} -j DROP

[править] ipfw

Необходимо выполнить следующие команды (на момент их запуска ipfw должен быть включен): 

  ipfw add allow ip from 127.0.0.1 to me dst-port {PORT}
  ipfw add allow ip from {SERVER_IP} to me dst-port {PORT}
  ipfw add reset ip from any to me dst-port {PORT}
Ограничение доступа к порту относится к теме «UNIX»   ±
Источник — «http://wikireality.ru/w/index.php?title=%D0%9E%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0_%D0%BA_%D0%BF%D0%BE%D1%80%D1%82%D1%83&oldid=316111»