Tenho que adicionar regras de iptable separadas para IPs diferentes (VIP e IP público estático)?
Isso depende de como suas regras iptables
existentes se parecem. Se você está permitindo explicitamente o acesso a endereços IP específicos, então sim, você precisa adicionar regras ao VIP. Se você acabou de aceitar conexões para a porta específica, então não.
Como permitir (escutar) o tráfego somente em um IP particular (VIP) para um serviço para o servidor ex-DB e não de outro endereço público (xx.1) do mundo externo.
Isso depende do software que está sendo usado para o serviço específico. Por exemplo. MySql
pode ser solicitado a ligar-se a um endereço IP específico para que as conexões com qualquer outro endereço IP não sejam bem-sucedidas. Você também pode usar iptables
para bloquear tudo, exceto a porta de serviço de alta disponibilidade do VIP.
Minha regra pessoal com iptables
é sempre permitir explicitamente que as conexões que eu conheço sejam necessárias e bloquear todo o resto.
Se você quiser bloquear tudo no VIP, exceto o serviço que você está disponibilizando, por exemplo, http na porta 80:
iptables -A INPUT -d xx.xx.xx.3 --protocol tcp --dport 80 -j ACCEPT
iptables -A INPUT -d xx.xx.xx.3 -j REJECT
Similarmente, permita ou bloqueie portas nos endereços não-VIP de acordo com o que você desejar.
Você deve ter uma regra anterior de INPUT
que aceite todo o tráfego de icmp
do protocolo, a propósito; muitos problemas de rede vagos são causados por pessoas que desconhecem o bloqueio de icmp
pacotes.