IPTABLES多個公網IP地址

Question

目前我有兩個服務器使用起搏器和Corosync如下HA主動/被動設置運行Debian 7：

node1->IP->xx.xx.xx.1 
node2->IP->xx.xx.xx.2 
VIP(Floating IP) ->xx.xx.xx.3 

它與心跳故障切換設置配置。 上述所有知識產權都面向公衆。

當其他節點發生故障時，系統正常工作，因爲它具有高可用性。 當其中一個系統處於活動狀態時，將有兩個IP分配給一臺服務器。

因此，這裏是我的question-

1. 我是否需要添加任何單獨的iptable的規則不同IP的（VIP 和靜態公網IP）？
2. 如何僅允許（監聽）針對eg-DB服務器的服務的特定IP（VIP）的流量，而不是來自外部的其他公共地址（xx.1）的流量。

如果任何涉及安裝WRT安全性等。請評論..

感謝

Answer 1

1. 這要看你的一套iptables規則和您的需求。您可以根據目標IP地址允許/拒絕流量。這樣就可以e。 G。只允許流量到浮動IP，但不允許到節點的主IP地址。或者你可以將你的規則集綁定到一個特定的接口（例如eth0），該接口持有一堆IP地址。

2. 這是很好的做法，拒絕一切，只允許特定的流量。在這種情況下，我會默認拒絕，只允許基於源IP地址（來自數據庫服務器已知IP地址）的流量。

關於關注：基於主機的防火牆總是有缺點，當mashine受到損害潛在的攻擊者可能能夠完全禁用防火牆。因此，您可能希望在面向互聯網並過濾流量的DMZ網絡前設置單獨的防火牆。但這取決於您的設置和保護要求。