IPTABLES多个公网IP地址

Question

目前我有两个服务器使用起搏器和Corosync如下HA主动/被动设置运行Debian 7：

node1->IP->xx.xx.xx.1 
node2->IP->xx.xx.xx.2 
VIP(Floating IP) ->xx.xx.xx.3 

它与心跳故障切换设置配置。 上述所有知识产权都面向公众。

当其他节点发生故障时，系统正常工作，因为它具有高可用性。 当其中一个系统处于活动状态时，将有两个IP分配给一台服务器。

因此，这里是我的question-

1. 我是否需要添加任何单独的iptable的规则不同IP的（VIP 和静态公网IP）？
2. 如何仅允许（监听）针对eg-DB服务器的服务的特定IP（VIP）的流量，而不是来自外部的其他公共地址（xx.1）的流量。

如果任何涉及安装WRT安全性等。请评论..

感谢

Answer 1

1. 这要看你的一套iptables规则和您的需求。您可以根据目标IP地址允许/拒绝流量。这样就可以e。 G。只允许流量到浮动IP，但不允许到节点的主IP地址。或者你可以将你的规则集绑定到一个特定的接口（例如eth0），该接口持有一堆IP地址。

2. 这是很好的做法，拒绝一切，只允许特定的流量。在这种情况下，我会默认拒绝，只允许基于源IP地址（来自数据库服务器已知IP地址）的流量。

关于关注：基于主机的防火墙总是有缺点，当mashine受到损害潜在的攻击者可能能够完全禁用防火墙。因此，您可能希望在面向互联网并过滤流量的DMZ网络前设置单独的防火墙。但这取决于您的设置和保护要求。