iptables の設定で、tcpポートで外から使えるのは 80, 8888 だけ。実験用途は8888を使おう。今、実験用のnginxが7999をlistenしているが、外からはアクセスできない。ので、もう少しポートを開けたほうがよさそうだが、iptablesの使い方が毎度忘れる、あれはヒドイよね。もうちょっと使い勝手がどうにかならなかったかと思う＞iptables。

80番はキマイラサイトに使うので、今のところ8888しかないが、外から見える名前／ポートとアップストリームとの関係にルールがないと混乱しそう。それと、fuser -vn tcp 7999 とかでポートを使用しているプロセスはわかるが、複数のnginxがいるので、どのnginxだかワカラナイ。PIDファイルと比べればいいのだが、ファイルに書かれているのはマスタープロセスIDだけ。psの出力から親子関係をたどって、とかしないと全体のプロセス構成が読めない。

さらに、3031ポートをuWSGIが使っているが、これはnginxとの通信用。どのuWSGIプロセスがどのnginxと通信しているかも把握しないとならない。あーめんどくさいなー。たぶん、人の記憶とか注意力ではどうにもならなくなる。なんかツールが必要。

それはそうと、専用のユーザーからnginxやuwsgiを起動すると、ユーザー名がラベルとして多少は機能する。

$ sudo /sbin/fuser -vn tcp 3031

here: 3031
                     USER        PID ACCESS COMMAND

3031/tcp             caty      12236 f....  uwsgi

                     caty      12251 f....  uwsgi

                     caty      12252 f....  uwsgi

ユーザー名で目的用途が識別できるなら、nmap と /sbin/fuser でだいたいの事情は把握できる（今のところ、だけど）。