Непонятные особенности связки Nginx и Apache2
Posted: Mon Apr 17, 2017 12:52 pm
Здравствуйте, уважаемые разработчики. Прошу объяснить такой момент, ибо то, что вижу в данный момент в настройках, не налазит на голову.
Момент первый: зачем nginx и apache в конфигах связаны через внешний ip сервера, а не через localhost, или ещё лучше - не через отдельный сокет? В этом случае, при отключённом или неправильно настроенном файерволе сервер становится уязвим на порту 8080 (который слушает apache) на внешнем ip, отличная цель для ддоса. Сам бы не узнал, если бы меня не начали долбить запросами на этот порт на внешнем айпишнике.
Момент второй: при подключении SSL шифрование включается в конфиге nginx хоста/сайта, подключается сертификат, и т.д., запросы перенаправляются на apache на порту 8443. НО - на внешний ip, на котором висит и слушает индеец. Т.е. шифрование включается между клиентом (браузером) и сервером (nginx). ПРИ ЭТОМ, в конфиге хоста на apache тоже зачем-то включается шифрование (подключается SSL-сертификат и пр.), и получается - nginx и apache шифруют трафик между собой - ВНУТРИ СЕРВЕРА? и обмениваются им через всё тот-же внешний ip сервера, вместо локалхоста или отдельного сокета, который в случае отключённого файервола - становится открытым для долбёжки пакетами?
Но это же получается - лишняя нагрузка и дыра в безопасности? Прошу объяснить, почему так, ибо в моей голове это объяснению не поддаётся. Заранее благодарен за развёрнутый ответ!
Момент первый: зачем nginx и apache в конфигах связаны через внешний ip сервера, а не через localhost, или ещё лучше - не через отдельный сокет? В этом случае, при отключённом или неправильно настроенном файерволе сервер становится уязвим на порту 8080 (который слушает apache) на внешнем ip, отличная цель для ддоса. Сам бы не узнал, если бы меня не начали долбить запросами на этот порт на внешнем айпишнике.
Момент второй: при подключении SSL шифрование включается в конфиге nginx хоста/сайта, подключается сертификат, и т.д., запросы перенаправляются на apache на порту 8443. НО - на внешний ip, на котором висит и слушает индеец. Т.е. шифрование включается между клиентом (браузером) и сервером (nginx). ПРИ ЭТОМ, в конфиге хоста на apache тоже зачем-то включается шифрование (подключается SSL-сертификат и пр.), и получается - nginx и apache шифруют трафик между собой - ВНУТРИ СЕРВЕРА? и обмениваются им через всё тот-же внешний ip сервера, вместо локалхоста или отдельного сокета, который в случае отключённого файервола - становится открытым для долбёжки пакетами?
Но это же получается - лишняя нагрузка и дыра в безопасности? Прошу объяснить, почему так, ибо в моей голове это объяснению не поддаётся. Заранее благодарен за развёрнутый ответ!