Debian 9 - Permitir APENAS um determinado IP para o MongoDB

1

Como posso tornar meu Mongo acessível apenas para IP?

Eu tentei o iptables

iptables -A INPUT -s 192.168.2.111 -p tcp --destination-port 27016 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 192.168.2.111 -p tcp --source-port 27016 -m state --state ESTABLISHED -j ACCEPT
.

Mas, o que exatamente faz isso? Como posso negar todos os outros IPs? Como posso editar o iptables para adicionar mais IP para permitir e manter o bloqueio "não listado"? Como posso tornar esta configuração do iptables persistente?

Eu tento meu melhor inglês.

    
por Máxima Alekz 05.10.2017 / 19:01

1 resposta

2

But, what exactly does that?

Isso é apenas duas regras sem significado.

How can I deny all other IP?

Existem duas maneiras. O primeiro está configurando a política de negação com:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Mas desta forma não é uma prática recomendada, porque se você redefinir todas as regras, perderá a conexão com o servidor. Use o segundo caminho:

Você precisa da política "aceitar todos" com a última regra em cadeias que negam todo o tráfego:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

some rule...
some rule...
some rule...

iptables -A INPUT --destination $host --jump DROP
iptables -A OUTPUT --source $host --jump DROP

Onde $host - é o endereço IP do host

How can I edit the iptables for adding more IP to allow and keeping blocking "not listed"?

Você pode adicionar vários endereços ou sub-redes ip a uma única regra. Por exemplo:

iptables -A INPUT --source 192.168.2.111,192.168.2.1,192.168.56.0/24 --destination $host --protocol tcp --dport 27016 --jump ACCEPT

How can I make this iptables configuration persitent?

com iptables-persistent

Preste atenção : se você negar ou interromper todo o tráfego de ENTRADA / SAÍDA, precisará definir as regras de aceitação para a conexão adequada ao servidor.

Para ssh :

iptables -A INPUT --source 192.168.2.111 --protocol tcp --dport 22 --jump ACCEPT
iptables -A OUTPUT --match conntrack --ctstate ESTABLISHED,RELATED --jump ACCEPT

Use o iptables com cuidado, especialmente em servidores remotos, que você não pode acessar diretamente se algo der errado.

    
por 05.10.2017 / 19:46