Estou hospedando um site em um servidor voltado para o público. Neste site, gostaria de ter regras de firewall tão estritas quanto possível; parte dessa abordagem envolve a lista de permissões por porta.
Eu abri o SSH em alguns endereços confiáveis e configurei iptables para permitir o tráfego de qualquer lugar em HTTP e HTTPS, mas com uma política DROP geral em INPUT .
Agora estou tentando configurar o Let's Encrypt para um domínio apontado para essa caixa, mas isso sempre é interrompido até eu executar iptables --policy INPUT ACCEPT enquanto durar a assinatura do certificado.
Isso é intrigante, já que, até onde eu sei,
/var/www/
acme-tiny envia uma solicitação de assinatura para letsencrypt.org over HTTPS ... Então as únicas portas que devem estar abertas são 80 e 443.
Como descrito acima, o script trava no primeiro domínio que ele tenta ser validado (até que um tempo limite ocorra), a menos que eu defina minha política INPUT global como ACCEPT , o que, idealmente, gostaria de evitar.
Isso persiste após a lista de permissões todo tráfego de letsencrypt.org , acme-staging.api.letsencrypt.org e acme-v01.api.letsencrypt.org
Quais outros portos e domínios, e em quais cadeias, devo colocar na lista de permissões para permitir que acme-tiny tenha acesso regular aos servidores LE quando uma renovação for necessária?
Tags iptables lets-encrypt