我有两个通过 corosync 处于 HA 模式的 haproxy 服务器,每个服务器都配置为将流量从特定服务器传递到某些服务(即 clamav)。虽然我在测试时能够从telnet [lb ip] 3310非 lb ip 地址成功连接。
在我的规则顶部我有:
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
表格上相关配置
ACCEPT tcp -- 11.11.11.11 anywhere tcp dpt:3310
ACCEPT tcp -- 22.22.22.22 anywhere tcp dpt:3310
ACCEPT tcp -- 23.23.23.23 anywhere tcp dpt:3310
我想知道这两条规则是否会互相干扰,是否可以更好地定义它们。为了实现冗余,我在不同的数据中心/机架上的云服务器上运行这些服务,这就是为什么我试图确保这些端口只能从已知服务器访问。
谢谢,希望这些信息足够了。默认的 INPUT 策略是 DROP,所有 DROPPED 数据包都会被记录下来。我可以在日志中看到正确的拒绝,这很好,所有其他数据包都运行良好。
答案1
这似乎是一个问题state NEW,当更改为 时,state RELATED, ESTABLISHED一切如预期工作。
在比较了 ufw iptable 规则和我尝试通过 salt 自动化的 iptable 规则后,我得出了这个结论。
还有来自此资源的提示IPTables如何操作我应该仔细阅读一下。
希望这能够帮助其他人。