使用2个Express应用阻止私人端口NGINX反向代理

Question

我试图在同一台服务器上运行两个Express应用程序（一个是公共API，另一个是与数据库对话的私有API）。

我已经设置nginx来反向代理到运行在端口3000上的公共快递应用程序，并使用来自数字海洋的私有IP。

我的公共快递应用将请求发送到专用api（在端口3030上运行）

当我转到我的域example.com:3030/users时-我可以看到所有用户。 （坏）。

如何锁定公众的3030端口（即：website.com/:3030/API-ROUTE）？

nginx设置：

server {
    listen 80;

    server_name 123.456.78.910;

    root /srv/www;

    location / {
        root /srv/www/public;
        try_files $uri/maintenance.html @node_app;
    }

    location @node_app {

        proxy_pass http://98.765.4.32:3000;
        proxy_http_version 1.1;
        proxy_set_header X-NginX-Proxy true;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

公开API

var express = require('express');
var app = express();

app.get('/', function (req, res) {
  res.send('Hello public World!');
});

app.listen(3000, function () {
  console.log('Example app listening on port 3000!');
});

私人API

var express = require('express');
var app = express();

app.get('/', function (req, res) {
  res.send('Hello Private World!');
});

app.listen(3030, function () {
  console.log('Example app listening on port 3030!');
});

Answer 1

您可以在多个层上锁定对该端口的访问。

首先，在Node.js中，您可以告诉Node.js应用程序绑定到特定的IP地址，即127.0.0.1：

app.listen(3030, '127.0.0.1');

接下来，您可以在操作系统级别锁定访问权限。 例如，在Ubuntu Linux中，您可以使用ufw定义一个规则，该规则仅允许从本地主机访问该端口。

最后，外部设备上其他位置的防火墙规则可能会限制访问。 例如，对于AWS安全组，您可以定义一个规则，即仅允许该组中的其他服务器访问特定组中的服务器的端口3030-该组中可能只有一个服务器。

还有一种方法是侦听Unix套接字而不是IP地址。