Настройка iptables для нескольких хостов

0

1

Добрый день.

Имеется vds, ubuntu 16.04.

На localhost/www/html/ лежат php файлы, которые должны быть доступны только с localhost и 10.8.0.* (из openvpn).

Сейчас в iptables:

-A INPUT -s 10.8.0.0/24 -d 10.8.0.0/24 -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j DROP

Сейчас я добавил новый виртуальный хост и привязываю к нему домен. (в зоне .ru). Вопрос, как мне сделать так, чтобы все осталось как есть, но доступ к новому домену был и по 80 и по 443? из веба, а не только ovpn.

Ссылка

←	Как сконфигурировать время неработающей сессии в SSH

Общесистемный аналог foxyproxy

→

Добавить разрешающее правило до DROP, где -d будет ваш внешний адрес, а -s будет любой. Но вам придется так же рихтовать настройки Apache, что бы в ваших хостах все было верно, то есть то что должно быть доступно для VPN должно обязательно быть учтено в параметре LISTEN, а то что должно быть доступно из мира LISTEN внешний_ip:80 и т.д.

yakunin ★
(03.12.18 11:46:06 MSK)

Ответ на: комментарий от yakunin 03.12.18 11:46:06 MSK

conf apache

Это для lo

<Location /localhost>
    SetHandler localhost
    Order Allow,Deny
    Deny from  all
    Allow from 10.8.0.1/24
</Location>

Это для домена

<Location /domen>
    SetHandler domen
    Order Allow,Deny
    Allow from all
</Location>

Но тогда, если я правильно понимаю правила DROP и ACCEPT на порты 80/443 в iptables не имеют смысла, т.к. разбираться кому можно а кому нет будет апач.?

andrey7690
(03.12.18 21:50:00 MSK) автор топика

Ответ на: conf apache от andrey7690 03.12.18 21:50:00 MSK

conf apache

Так на localhost, нужно дописать

Require local

Но вопрос с iptables все еще открыт.

andrey7690
(03.12.18 22:05:59 MSK) автор топика

Ссылка

Ответ на: conf apache от andrey7690 03.12.18 21:50:00 MSK

Но тогда, если я правильно понимаю правила DROP и ACCEPT на порты 80/443 в iptables не имеют смысла, т.к. разбираться кому можно а кому нет будет апач?

Это правильный ответ. iptables работает на сетевом уровне. Обращение к конкретному домену идёт на прикладном уровне в виде «GET ввв.ру», iptables суда доступа не имеет. Разруливается средствами апача или фронтенда.

Mike_RM ★
(03.12.18 22:16:30 MSK)

Ссылка

Ответ на: conf apache от andrey7690 03.12.18 21:50:00 MSK

Но тогда, если я правильно понимаю правила DROP и ACCEPT на порты 80/443 в iptables не имеют смысла, т.к. разбираться кому можно а кому нет будет апач.?

Нет, не правильно понимаете. Разбираться на уровне доменных имен будет Apache, но до того пакет у вас отсекается iptables, т.к. в источнике и назанчении у вас стоят локальные адреса. А вам надо что бы ваш сервер видел мир.

yakunin ★
(04.12.18 10:58:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как сконфигурировать время неработающей сессии в SSH

Admin

Общесистемный аналог foxyproxy

→

conf apache

conf apache

Похожие темы