IPTABLES para vários endereços IP públicos

3

Atualmente eu tenho dois servidores rodando o Debian 7 com configuração HA Ativo / Passivo usando o Pacemaker e o Corosync da seguinte forma:

node1->IP->xx.xx.xx.1
node2->IP->xx.xx.xx.2
VIP(Floating IP) ->xx.xx.xx.3

É configurado com heartbeat para configuração de failover. Todos os IPs acima estão voltados ao público.

O sistema está funcionando como deveria com a Alta Disponibilidade quando outro nó falha, etc. Quando um dos sistemas é Ativo, haverá dois IPs atribuídos a um servidor.

Então aqui está minha pergunta -

  1. Tenho que adicionar regras de iptable separadas para IPs diferentes (VIP e IP público estático)?
  2. Como permitir (ouvir) o tráfego somente em um IP particular (VIP) para um serviço para o servidor de banco de dados, por exemplo, e não de outro endereço público (xx.1) do mundo externo.

    Se você tem alguma coisa que diz respeito à segurança da instalação, etc., por favor comente ..

Obrigado

    
por vrOom 05.12.2014 / 12:57

1 resposta

1

Tenho que adicionar regras de iptable separadas para IPs diferentes (VIP e IP público estático)?

Isso depende de como suas regras iptables existentes se parecem. Se você está permitindo explicitamente o acesso a endereços IP específicos, então sim, você precisa adicionar regras ao VIP. Se você acabou de aceitar conexões para a porta específica, então não.

Como permitir (escutar) o tráfego somente em um IP particular (VIP) para um serviço para o servidor ex-DB e não de outro endereço público (xx.1) do mundo externo.

Isso depende do software que está sendo usado para o serviço específico. Por exemplo. MySql pode ser solicitado a ligar-se a um endereço IP específico para que as conexões com qualquer outro endereço IP não sejam bem-sucedidas. Você também pode usar iptables para bloquear tudo, exceto a porta de serviço de alta disponibilidade do VIP.

Minha regra pessoal com iptables é sempre permitir explicitamente que as conexões que eu conheço sejam necessárias e bloquear todo o resto.

Se você quiser bloquear tudo no VIP, exceto o serviço que você está disponibilizando, por exemplo, http na porta 80:

iptables -A INPUT -d xx.xx.xx.3 --protocol tcp --dport 80 -j ACCEPT
iptables -A INPUT -d xx.xx.xx.3 -j REJECT

Similarmente, permita ou bloqueie portas nos endereços não-VIP de acordo com o que você desejar.

Você deve ter uma regra anterior de INPUT que aceite todo o tráfego de icmp do protocolo, a propósito; muitos problemas de rede vagos são causados por pessoas que desconhecem o bloqueio de icmp pacotes.

    
por 05.12.2014 / 16:11