我有点困惑,需要一些澄清。
假设我想拒绝所有到 mongodb 服务器的连接,除了从我的 IP 到 SSH 的连接和从我的 IP 到端口 27017 的连接。我的理解是,首先设置允许规则,然后设置一般拒绝规则
ufw allow from MY_IP to any port 22
ufw allow from MY_IP to any port 27017
ufw deny 22
ufw deny 27017
这很有道理。但是现在,假设我正在运行一个应用服务器集群,这些服务器都需要访问数据库服务器,并且这些服务器可能会随时自动创建或销毁,这意味着允许的 IP 将会发生变化。每次我想向特定应用服务器添加新的允许时,我是否必须删除一般拒绝规则,然后重新创建它们?
答案1
您可以使用 UFW/iptables 来允许范围。
如果您的服务器是在同一范围内创建的,则可以设置允许通过的特定子网。例如:
ufw allow in on eth0 from 192.168.4.0/24 proto tcp to any port 1234