Eu tenho dois servidores haproxy que estão no modo HA via corosync, cada um deles é configurado para passar tráfego para determinados serviços, ou seja, clamav, de servidores específicos. Embora quando eu testo isso eu sou capaz de telnet [lb ip] 3310 de um endereço IP não-lb e conectar com sucesso.
No topo das minhas regras eu tenho:
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
Configuração relevante na tabela
ACCEPT tcp -- 11.11.11.11 anywhere tcp dpt:3310
ACCEPT tcp -- 22.22.22.22 anywhere tcp dpt:3310
ACCEPT tcp -- 23.23.23.23 anywhere tcp dpt:3310
Eu estou querendo saber se essas duas regras estão ficando no caminho uma da outra e elas poderiam ser melhor definidas. Estou executando esses serviços em servidores de nuvem em diferentes datacenters / racks para redundância, e é por isso que estou tentando proteger essas portas para serem acessadas apenas por servidores conhecidos.
Obrigado, espero que seja informação suficiente. A política INPUT padrão é DROP e todos os pacotes DROPPED são registrados. Eu posso ver rejeições adequadas nos logs, o que é bom e todos os outros pacotes estão fluindo bem.
Isso parece ser um problema com state NEW , quando alterado para state RELATED, ESTABLISHED , tudo funciona conforme o esperado.
Cheguei a esta conclusão depois de comparar as regras de ipt e as minhas próprias regras de iptable que estou tentando automatizar via sal.
Também dicas deste recurso IPTablesHowTo que eu deveria ter lido mais de perto.
Espero que isso ajude alguém.