Eu uso a rede privada no Oceano Digital entre um balanceador de carga e um servidor da web (nginx / node). Eu quero que o servidor da web bloqueie todo o tráfego de entrada em todas as portas, exceto duas coisas:
Eu tentei fazer isso com os seguintes comandos do ufw:
ufw enable
ufw default deny
ufw deny http
ufw deny https
ufw allow ssh
ufw allow from loadbalancer.private.ip to any port 80
ufw allow from loadbalancer.public.ip to any port 80
O resultado do ufw status verbose mostra isso:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80 DENY IN Anywhere
443 DENY IN Anywhere
22 ALLOW IN Anywhere
80 ALLOW IN loadbalancer.private.ip
80 ALLOW IN loadbalancer.public.ip
80 (v6) DENY IN Anywhere (v6)
443 (v6) DENY IN Anywhere (v6)
22 (v6) ALLOW IN Anywhere (v6)
O site não está respondendo e mostrando apenas o tempo limite do gateway nginx 504. Se eu digitar ufw permitir http o site está disponível. Então, minha configuração acima deve estar bloqueando o balanceador de carga. O que está errado?
As regras de firewall são correspondidas pela primeira vez em termos de processamento. Se o DENY vier antes do ALLOW, não funcionará bem.
Suas regras ALLOW precisam vir antes das regras DENY. Caso contrário, as primeiras regras correspondentes serão as regras DENY e você não poderá se conectar como deseja.