使用端口转发解决nodejs在80端口上的监听权限问题

zhuan

由于linux的系统限制,普通用户是无法打开1024以下端口的,这里面就包括http的默认端口80,这就使得很多用户使用root权限来执行node,这带来了不可预计的安全问题,所以这并不是一个好办法。

其实我们可以使用iptables的端口转发功能来解决这个问题:

1,首先将node的主程序绑定到高于1024端口,比如8090,这样普通用户就可以启动这个http server了,只不过不是在默认的80端口上监听;

2,配置iptables将80端口转发到8090上,如下命令:

#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8090

该命令的意思就是在iptable中添加一条端口转发规则,如果删除该规则,重新绑定,则先查找出:

#iptables --line-numbers --list PREROUTING -t nat

然后使用行号删除:

#iptables -t nat -D PREROUTING 行号

3,记得添加8090端口到iptables的INPUT ACCEPT规则中

#iptables -I INPUT -p tcp --dport 8090 -j ACCEPT

4,第2步和第3步添加的这些规则,都是临时性的,重启服务器之后就无效了,所以需要保存起来

#/sbin/service iptables save

端口转发配置完成。

补充:

经过上面的设置后,远程使用默认80端口访问网站没有问题,但是在本机访问就要包Connect Refused的错误,如:

[use@host ~]$ wget http://localhost--2014-04-17 11:32:41--  http://localhost/Connecting to localhost:80... failed: Connection refused.

这是因为本地连接的端口转发与远程连接的不一样,所以我们还要做如下设置:

#iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j DNAT --to 127.0.0.1:8090#iptables -t nat -A OUTPUT -p tcp -d 本机IP --dport 80 -j DNAT --to 本机IP:8090#/sbin/service iptables save

这样设置之后,本机就可以使用默认端口了。

参考:

1,http://blog.csdn.net/pengyouchuan/article/details/11026531

2,http://www.liugj.com/2013/04/Iptables-NAT/

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 75,995评论 12 117
  • iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防...
    yshenhn阅读 11,753评论 1 33
  • 名词延伸 通俗的说,域名就相当于一个家庭的门牌号码,别人通过这个号码可以很容易的找到你。如果把IP地址比作一间房子...
    杨大虾阅读 11,943评论 2 47
  • 注解;来自某位大神的详解,做个笔记。 iptables防火墙简介 Netfilter/Iptables(以下简称I...
    王哲理阅读 1,767评论 0 11
  • iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含iptables的功...
    随风化作雨阅读 1,049评论 1 13