Обновление виртуальных машин сервера позади прокси реверса NGINX
Как Christopher Cashell говорит, что необходимо зарегистрировать трафик для знания то, что требуется всеми системами. Учитывая, что Ваш бизнес не может принять ОТКЛОНЯТЬ правило, которое блокируют весь трафик, в то время как Вы выясняете то, что требуется, Вы могли установить правило РАЗРЕШЕНИЯ и зарегистрировать то, что разрешено, и проанализируйте это. Можно затем использовать это, чтобы установить более определенные правила РАЗРЕШЕНИЯ и затем включить ОТКЛОНЕНИЕ как последнее правило для того интерфейса. Тем путем Вы только позволяете трафик, который Вы разрешили.
Документация Microsoft должна дать Вам порты, в которых их системы нуждаются - но то, что вы оказывались перед необходимостью выслеживает их для каждого приложения, которое Вы используете.
Тот факт, что сервер имеет доступ к Интернету, не означает, что Интернет имеет доступ к этому серверу.
Вы можете (и должны) ) настройте брандмауэр на каждом вашем компьютере. Вы также можете настроить независимый брандмауэр, который защищает все устройства.
Обычный шаблон конфигурации брандмауэра - разрешить весь исходящий трафик, а затем запретить весь входящий трафик, за исключением установленных соединений (т. Е. Тех соединений, которые были запущены машинами внутри брандмауэра). Этот шаблон позволит вашим ящикам запрашивать обновления через Интернет, но не позволит никому в Интернете подключаться к вашей службе NodeJS.
В поле обратного прокси вам нужно будет добавить еще одно правило, разрешающее входящий трафик на порты 80 и 443.
Есть и другие способы решения этой проблемы, например, запуск прокси-сервера на DMZ-сервере и настройка apt на всех остальных серверах для использования этого прокси. Это будет работать в ситуации, когда вы не можете предоставить внутренним ящикам прямой доступ к Интернету, например к среде данных карты PCI.