IPTABLES для нескольких публичных IP-адресов
В настоящее время у меня есть два сервера, на которых запущен Debian 7 с настройкой HA Active/Passive с использованием Pacemaker и Corosync следующим образом:
node1->IP->xx.xx.xx.1
node2->IP->xx.xx.xx.2
VIP(Floating IP) ->xx.xx.xx.3
Это настроено с heartbeat для настройки отработки отказа. Все вышеперечисленные IP являются публичными.
Система все работает, как и предполагалось, с высокой доступностью при сбое другого узла и т. Д. Когда одна из систем активна, двум IP-адресам будет назначен один сервер.
Так вот мой вопрос
- Нужно ли добавлять какие-либо отдельные правила iptable для разных IP-адресов (VIP и статический публичный IP-адрес)?
- Как разрешить (прослушать) трафик только по определенному IP(VIP) для услуги для сервера eg-DB, а не с другого публичного адреса (xx.1) из внешнего мира.
Если у вас есть что-то, что касается настройки безопасности и т. Д., Пожалуйста, прокомментируйте..
Спасибо
1 ответ
Это зависит от вашего набора правил iptables и ваших потребностей. Вы можете разрешать / запрещать трафик на основе IP-адреса назначения. Таким образом, будет возможно, например, разрешить трафик только для плавающего IP-адреса, но не для основного IP-адреса узла. Или вы можете привязать свой набор правил к определенному интерфейсу (например, eth0), который содержит несколько IP-адресов.
Это хорошая практика, чтобы отрицать все и разрешать только определенный трафик. В данном случае я бы по умолчанию отказался, только разрешая трафик на основе IP-адреса источника (с известных IP-адресов серверов БД).
Что касается проблем: у брандмауэров на основе хоста всегда есть недостаток, заключающийся в том, что при взломе машины потенциальный злоумышленник может полностью отключить брандмауэр. Таким образом, вы можете захотеть иметь отдельный межсетевой экран перед вашей сетью DMZ, который обращен к Интернету и фильтрует трафик. Но это зависит от ваших настроек и требований защиты.