Делаю сайт, Впервые! Опции

[indеx]

Ни думал, ни гадал, что когда-нибудь возьмусь за такое занятие. Во-первых, у меня не было идеи, о чём должен быть сайт. Во-вторых, я никогда не делал сайты, и у меня нет соответствующих навыков. Но тут у друга появилась идея для сайта, которая мне понравилась. А у меня начало появляться свободное время, которое нужно было использовать. Начинать что-то новое я никогда не боялся, поэтому решил начать. Тем более, что общие навыки программирования у меня есть. Сразу скажу: Идею сайта пока рассказывать не буду, не просите! Даже если просто поржать . Да и дело пока не в идее, а в приобретении навыков веб-программирования.
Честно говоря, я уже начал делать сайт, и есть кое-какие наработки. Можно было, конечно, не создавать эту тему, а просто продолжать делать своё дело. Но я человек ленивый, и если не с кем пообщаться на эту тему, то работоспособность у меня почему-то снижается. А если на форуме в теме будет с кем поговорить, то это дело должно стать более захватывающим для меня и пойти веселее . Да и ответственность появится какая-то перед участниками темы, уже так просто не бросишь, будешь стараться доводить дело до конца. Плюс, мне поначалу нужна какая-то записная книжка, в которой будут множественные технические подробности, как именно я сделал то-то и то-то, и чтобы эта информация была доступна мне как с работы, так и из офиса, ибо она может понадобиться повторно. А если эта информация будет доступна ещё и другим людям, то хуже от этого точно не будет никому. Тем более, что на форуме могут найтись участники, способные подсказать, направить, дать совет или ещё как-то помочь мне в моём начинании, что будет для меня весьма кстати. Вот поэтому я и решил создать данную тему.

Обычно я веду беседы совсем на другие темы, не связанные с техникой, что может стать неожиданностью для участников, знакомых со мной на форуме. В связи с этим я считаю необходимым сделать следующее предупреждение.
ПРЕДУПРЕЖДЕНИЕ:
В данной теме предполагается углубленное рассмотрение информационно-алгоритмических подробностей с использованием сложных и неоднозначных для обычных людей понятий, применяемых в этой области. Это способно вызвать у неподготовленного читателя состояние трудно-идентифицируемой дезориентации, во избежание чего, во время прочтения данной темы рекомендуется не пытаться осознать сразу всё, что написано, а также рекомендуется делать перерывы и пить больше жидкости. За психическое состояние читателей автор ответственности не несёт.

Продолжение следует...

[indеx]

Забыли, забыли... Мы же ещё к серверу MySQL подключаемся удалённо через SSH-туннель. Значит нужно открыть ещё один порт — 3306. Причём, открыть так, чтобы доступ к серверу MySQL был только с локального компьютера, а из Интернета его не было. Пишем в командной строке:

Код

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

Это разрешит входящие подключения к серверу MySQL через SSH-туннель. Но передача информации между программой-клиентом и программой-сервером MySQL организована двумя подключениями, одно входящее, другое исходящее. То есть, нужно открыть ещё и исходящие подключения. Пишем:

Код

iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT

Этим мы открываем исходящие подключения не только с порта 3306, но и со всех остальных портов. Однако, не для всех пунктов назначения, а только для локального компьютера (IP-адрес назначения = 127.0.0.1), т.е. для подключений, не выходящих за пределы сервера. А вот подключения, выходящие за пределы сервера, нужно закрыть, чтобы наши секреты никто не узнал Для этого пишем сначала:

Код

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

а затем:

Код

iptables -P OUTPUT DROP

Последняя из этих двух строк как раз запрещает все исходящие подключения, кроме указанных разрешённых. А вот первая строка особенная — она разрешает исходящую информацию для уже установленных (established) подключений, т.к. практически всегда во входящих подключениях есть ответы в обратную сторону. Аналогично, и в исходящих подключениях также всегда есть ответы в обратную сторону, и их нам тоже нужно разрешить:

Код

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

И для ещё большего спокойствия давайте запретим все перенаправления (forward):

Код

iptables -P FORWARD DROP

После внесения всех этих правил давайте проверим, что же у нас получилось:

Код

iptables -L -n --line-numbers

На экране появится следующая информация:

Код

Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:60201
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
4    ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0            tcp dpt:3306
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            127.0.0.1
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED

После чего убеждаемся, что всё работает — пробуем подключиться к серверу MySQL и проверяем работу сайтов. Если всё работает, то это означает, что мы настроили так называемый файрволл (firewall).

Продолжение следует...