0

目前我有两台服务器运行 Debian 7,使用 Pacemaker 和 Corosync 进行 HA 主动/被动设置,如下所示:

node1->IP->xx.xx.xx.1
node2->IP->xx.xx.xx.2
VIP(Floating IP) ->xx.xx.xx.3

它配置了心跳以进行故障转移设置。以上所有IP都是面向公众的。

当其他节点发生故障等时,系统将按其应有的高可用性工作。当其中一个系统处于活动状态时,将为一台服务器分配两个 IP。

所以这是我的问题-

  1. 我是否必须为不同的 IP(VIP 和静态公共 IP)添加任何单独的 iptable 规则?
  2. 如何仅允许(侦听)特定 IP(VIP)上的流量用于 eg-DB 服务器的服务,而不是来自外部世界的其他公共地址(xx.1)。

如果您对设置 wrt 安全等有任何疑问。请发表评论..

谢谢

4

1 回答 1

0

  1. 这取决于您的 iptables 规则集和您的需求。您可以根据目标 IP 地址允许/拒绝流量。因此有可能例如只允许流量到一个浮动IP,而不是一个节点的主IP地址。或者您可以将您的规则集绑定到一个特定的接口(例如 eth0),该接口拥有一堆 IP 地址。

  2. 拒绝一切并只允许特定流量是一种很好的做法。在这个给定的情况下,我默认拒绝,只允许基于源 IP 地址的流量(来自数据库服务器的已知 IP 地址)。

关于担忧:基于主机的防火墙总是有一个缺点,即当 mashine 受到威胁时,潜在的攻击者可能能够完全禁用防火墙。因此,您可能希望在 DMZ 网络前面有一个单独的防火墙,它面向 Internet 并过滤流量。但这取决于您的设置和保护要求。

于 2014-12-08T17:04:21.110 回答