আইপিটাবলস: বহির্গামী মাইএসকিউএল সংযোগগুলিকে অনুমতি দিন তবে আগত সংযোগগুলি নয়

আমার কাছে এমন একটি সার্ভার রয়েছে যা বাহ্যিক উত্স থেকে মাইএসকিএল সংযোগের অনুমতি দেয় না - আমার সমস্ত ডাটাবেস এবং সংযোগ লোকাল হোস্টে স্থান করে নেয়। Iptables এর ডিফল্ট নীতিটি হ'ল আমি যে নির্দিষ্ট পোর্টগুলি নির্দিষ্ট করি না তার জন্য সংযোগগুলি হ্রাস করা (বর্তমানে আমার iptable বিধিগুলিতে 3306 বন্দরটি নির্দিষ্ট করা হয়নি, তাই এই বন্দরের সমস্ত সংযোগ বাদ দেওয়া হয়)।

এটি দুর্দান্ত, তবে এখন আমি অ্যামাজন আরডিএসে বাহ্যিকভাবে অবস্থিত একটি মাইএসকিএল ডাটাবেসের সাথে সংযোগ করতে চাই।

পোর্ট 3306 নীচে বাইরের বিশ্বে খোলা যেতে পারে:

iptables -t filter -A INPUT -p tcp --sport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT

এটি আমাকে আমাজন আরডিএসের ডাটাবেসে সংযোগ করার অনুমতি দেয়, তবে এটি আমার সার্ভারের ডাটাবেসে দূরবর্তী সংযোগেরও অনুমতি দেয়।

আমার সার্ভারকে অ্যামাজনে থাকা ডাটাবেসের সাথে সংযোগ স্থাপনের অনুমতি দেওয়ার জন্য আমার কী করা দরকার, তবে আমার সার্ভারে থাকা ডাটাবেসের সাথে বাহ্যিক সংযোগগুলি সীমাবদ্ধ রাখে?

আমার মনে রাখবেন যে আমার অ্যামাজন আরডিএস উদাহরণের আইপি ঠিকানাটি পর্যায়ক্রমে পরিবর্তিত হতে পারে I

রাষ্ট্র ইঞ্জিনের সুবিধা নিন:

iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

বা iptables এর পরবর্তী সংস্করণগুলিতে

iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

স্টেট ইঞ্জিনটি হুবহু এটি করার জন্য: বিভিন্ন মানদণ্ড (যেমন, প্রোটোকল, উত্স বন্দর) পূরণ করে এমন ট্র্যাফিকের অনুমতি দিন তবে এটি একটি বিদ্যমান সংযোগের অংশ (এটি সংযোগকে সংজ্ঞায়িত করে )। TCP SYNউত্সাহটি হ'ল স্থানীয় ইফ্মারেল বন্দর থেকে গন্তব্য পোর্ট 3306 এ নির্দিষ্ট বাহ্যিক আইপি ঠিকানায় বহির্গামী প্যাকেট আইপি ঠিকানা এবং পোর্ট সংখ্যাগুলির নির্দিষ্ট সংমিশ্রণের জন্য একটি স্টেট টেবিল এন্ট্রি তৈরি করবে এবং কেবল একই সংমিশ্রণে ট্র্যাফিক ফেরত দেবে ঠিকানা এবং বন্দরগুলির মাধ্যমে অনুমতি দেওয়া হবে এবং কেবল সেই সংযোগের সময়কালের জন্য।