IPTABLES用于多个公共IP地址

时间:2014-12-05 10:54:49

标签: iptables high-availability failover pacemaker virtual-ip-address

目前我有两台运行Debian 7的服务器,使用Pacemaker和Corosync进行HA主动/被动设置,如下所示:

node1->IP->xx.xx.xx.1
node2->IP->xx.xx.xx.2
VIP(Floating IP) ->xx.xx.xx.3

使用心跳进行配置以进行故障转移设置。 以上所有知识产权都面向公众。

当其他节点出现故障等时,系统全部正常运行。 当其中一个系统处于活动状态时,将为两个IP分配给一个服务器。

所以这是我的问题 -

  1. 我是否必须为不同的IP添加任何单独的iptable规则(VIP 和静态公共IP)?
  2. 如何仅允许(监听)特定IP(VIP)上的流量来获取例如DB服务器的服务,而不允许来自外部世界的其他公共地址(xx.1)。

    3. 如果你有任何关于设置和安全等的事情,请发表评论..

    谢谢

1 个答案:

答案 0 :(得分:0)

  1. 这取决于您的iptables规则和您的需求。您可以根据目标IP地址允许/拒绝流量。因此,有可能e。 G。仅允许流量到浮动IP,但不允许流量到节点主IP地址。或者你可以将你的规则集绑定到一个特定的接口(例如eth0),该接口拥有一堆IP地址。

  2. 拒绝所有内容并仅允许特定流量是一种好习惯。在这种情况下,我默认拒绝,只允许基于源IP地址的流量(来自DB服务器已知的IP地址)。

    3. 关于问题:基于主机的防火墙总是有一个缺点,即当mashine受到攻击时,潜在的攻击者可能会完全禁用防火墙。因此,您可能希望在DMZ网络前面有一个单独的防火墙,该网络面向互联网并过滤流量。但这取决于您的设置和保护要求。

相关问题
最新问题