如何允许某些特定用户/机器通过公共互联网连接到生产服务器上的阻止端口?

如何允许某些特定用户/机器通过公共互联网连接到生产服务器上的阻止端口?

(我不知道我使用的工具是否合适,但只要尝试一下)

我的目的:阻止互联网访问5432生产服务器上的 postgresql 数据库端口。但允许某些用户/本地计算机从互联网访问此端口,5432仅在港口

我尝试了一些方法。有些方法有效(但我认为不是很有效),有些则无效。

  1. SSH 隧道:已尝试并有效。但我需要创建一个新用户,该用户除了通过 ssh 隧道连接到端口外,无法在服务器上执行任何操作5432。让我们尝试其他方法。
  2. 设置 VPN:还没有尝试,但我认为它可以工作,并且有很多东西需要为用户配置,就像案例 1 一样
  3. 使用防火墙允许来自特定 IP(我的公共 IP)的连接:已尝试并可行,但缺点是每当我的公共 IP 发生变化或切换到另一个网络时,我都必须 ssh 到服务器并添加新的防火墙配置。

我的问题:解决我的需求的最好/最有效的方法是什么?

答案1

1) 或 2),取决于您的需要。SSH 可能非常简单。

不要使用 3。即使有防火墙规则,您也绝不希望数据库端口直接暴露在互联网上。

相关内容