iptables নির্দিষ্ট আইপি এবং পোর্ট থেকে ইনকামিং জন্য নিয়ম

আমার 2 সার্ভার আছে, ওয়েব অনুরোধগুলির জন্য একটি (আমি এটি নামকরণ করেছি web ) এবং অন্য একটি ডাটাবেসের জন্য (আমি এটা নামকরণ db )। উভয় সার্ভার CentOS 7 হয়।

আমি এই নিয়ম করতে চান iptables:

• সব অনুরোধ db সার্ভার অবরুদ্ধ করা উচিত (সব পোর্টে সমস্ত আইপি);
• মাত্র web সার্ভার ( y.y.y.y ) অ্যাক্সেস করতে পারেন db পোর্ট সার্ভার 5432 এবং 6379;
• শুধু একটি স্ট্যাটিক আইপি ( x.x.x.x ) পোর্ট অ্যাক্সেস করতে পারেন 22।

তাই আমি এই নিয়ম লিখেছিলাম কিন্তু আমি নিশ্চিত নই যে তারা সঠিক

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 5432 -s y.y.y.y -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -s y.y.y.y -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s x.x.x.x -j ACCEPT

যারা নিয়ম সঠিক দেখায় (তারা অনুমিত db সার্ভার '), আপনি একটি গুরুত্বপূর্ণ নিয়ম অনুপস্থিত, যা হয়:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

যে নিয়ম ছাড়া, এবং ডিফল্ট সঙ্গে INPUT নীতি হিসাবে DROP, তোমার db সার্ভার নিজেই নেটওয়ার্ক অ্যাক্সেস করতে পারবেন না, উদাহরণস্বরূপ আপগ্রেড বা ইনস্টল করতে ping / traceroute নাগালের চেক, ইত্যাদি

তাই একটি সম্পূর্ণ iptables নিয়ম প্রণয়ন করা উচিত

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -s y.y.y.y -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -s y.y.y.y -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s x.x.x.x -j ACCEPT

করতে ভুলবেন না দয়া করে iptables -P INPUT DROP মাধ্যমে ssh এটি আপনার সার্ভার থেকে আপনাকে লক করা হবে।