IPTABLES는

Question

은 현재 내가 다음과 같은 맥박 조정기 및 Corosync를 사용하여 HA 능동/수동 설치를 데비안 7을 실행하는 두 개의 서버가 주소 :

node1->IP->xx.xx.xx.1 
node2->IP->xx.xx.xx.2 
VIP(Floating IP) ->xx.xx.xx.3 

그것은 장애를 통해 설정을위한 하트 비트와 구성입니다. 위의 모든 IP는 공개 대상입니다.

다른 노드에 장애가 발생할 때 시스템이 고 가용성으로 작동합니다. 시스템 중 하나가 활성이면 하나의 서버에 두 개의 IP가 할당됩니다.

그래서 여기

1. 내가 다른 IP의 (VIP 및 고정 공공 IP)에 대한 별도의 먼저, iptable 규칙을 추가해야합니까 내 질문 -입니까?
2. 외부의 다른 공용 주소 (xx.1)가 아닌 eg-DB 서버의 서비스에 대해 특정 IP (VIP)에서만 트래픽을 허용 (수신)하는 방법입니다.

설정 WRT 보안 등을 우려 당신이 아무것도 .. 의견을 주시기 바랍니다 ..

감사

Answer 1

1. 이의 iptables 규칙과 요구 사항의 당신의 설정에 따라 달라집니다. 대상 IP 주소를 기반으로 트래픽을 허용/거부 할 수 있습니다. 따라서 e. 지. 유동 IP에만 트래픽을 허용하고 노드 기본 IP 주소에는 허용하지 않습니다. 또는 IP 주소 묶음을 보유하고있는 특정 인터페이스 (예 : eth0)에 룰 세트를 바인드 할 수 있습니다.

2. 모든 트래픽을 거부하고 특정 트래픽 만 허용하는 것이 좋습니다. 이 주어진 경우에 나는 기본적으로 거부한다. 오직 원본 IP 주소 (DB 서버의 알려진 IP 주소)를 기반으로 트래픽을 허용한다.

우려 사항 : 호스트 기반 방화벽에는 매시린이 손상되었을 때 잠재적 공격자가 방화벽을 완전히 비활성화 할 수있는 단점이 항상 있습니다. 따라서 인터넷에 직면하고 트래픽을 필터링하는 DMZ 네트워크 앞에 별도의 방화벽을 설치하는 것이 좋습니다. 그러나 이는 설정 및 보호 요구 사항에 따라 다릅니다.