Дисклеймер: я не админ, а программист, не пользовался iptable столько еще.
Я использую mod_jk с AJP13 для направления определенного трафика данных от Apache к Tomcat. Кроме того, я пытаюсь быть довольно конкретным в правилах брандмауэра на сервере.
я говорю о локальный хост -> локальный хост здесь трафик, только входящие соединения для портов типа :443 или же :22 должны быть приняты брандмауэром без указания там интерфейса для них.
В настоящее время я использую это правило
$ sudo iptables -L -v --номера строк
Цепочка INPUT (политика ACCEPT 0 пакетов, 0 байтов)
num pkts bytes target prot opt in out source target
7 358 1702K ПРИНИМАТЬ все -- любое любое где угодно состояние СВЯЗАННО,УСТАНОВЛЕНО
(Практически большая часть трафика обрабатывается этим правилом, если я правильно прочитал строку: 1702 КБ, максимальное число для всех правил.) Что конкретно означает это правило и почему оно разрешает такой тип трафика, из-за состояние СВЯЗАННО?
Когда я отключаю это правило, другие правила для портов Apache и Tomcat не применяются, и пользователи (или их запросы) сталкиваются с тайм-аутами.
Мое правило для этого:
num pkts bytes target prot opt in out source target
9 0 0 ACCEPT tcp -- lo любой где угодно tcp dpt:8009
это не используется правильно?
Даже гораздо менее конкретное правило для интерфейса вот не работает. Я добавил его с iptables -I INPUT 15 -i lo -m conntrack --ctstate УСТАНОВЛЕНО, СВЯЗАННО -p tcp -j ПРИНЯТЬ.
Что я здесь делаю неправильно, мне нужно добавить цепочку AJP или другой протокол для моего правила?
