我在一个面向公众的服务器上托pipe一个网站。 在这个网站上,我希望有尽可能严格的防火墙规则。 这种方法的一部分涉及通过端口的白名单。
我已经将SSH打开到一些可信的地址,并且我configuration了iptables来允许HTTP和HTTPS上的任何地方的stream量,但是在INPUT上有一个总体的DROP策略。
现在我试图设置让我们encryption一个指向那个盒子的域名,但是这个一直挂起,直到我运行iptables --policy INPUT ACCEPT ,直到证书签名期间。
这是令人费解的,因为据我所知:
/var/www/ acme-tiny通过HTTPS发送一个签名请求让letsencrypt.org 因此,唯一需要开放的港口是80和443。
如上所述,除非我将全局INPUT策略设置为ACCEPT ,否则脚本会挂在它试图validation的第一个域上(直到发生超时),理想情况下,我希望避免这种情况。
在将来自letsencrypt.org , acme-staging.api.letsencrypt.org和acme-v01.api.letsencrypt.org 所有stream量列入白名单之后,这仍然存在
还有什么其他的端口和域名,以及在什么链上,我应该白名单,以便在需要更新时可以定期访问LE服务器?