Eu tenho um servidor MySQL rodando na porta 3306 com um IP privado: 10.64.30.117. Eu também tenho um aplicativo web rodando em outro nó com um IP privado: 10.17.23.1.
Eu quero que o aplicativo da web possa acessar o servidor MySQL, mas não quero que o MySQL esteja disponível publicamente. (Ambos os nós também têm um IP público).
Tentei usar o UFW mas parece bloquear tudo, o ufw statuscomando mostra o seguinte:
To Action From
-- ------ ----
3306 DENY Anywhere
3306 ALLOW 10.0.0.0/8
3306 ALLOW 10.0.0.0/24
3306 (v6) DENY Anywhere (v6)
ifconfigaparência completa da seguinte forma:
$ ifconfig
ens2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.64.30.117 netmask 255.255.255.254 broadcast 10.64.30.117
inet6 2001:xxxx:xxxx:xxx::1 prefixlen 127 scopeid 0x0<global>
inet6 fe80::dc1c:3cff:fe32:203b prefixlen 64 scopeid 0x20<link>
ether de:1c:3c:32:20:3b txqueuelen 1000 (Ethernet)
RX packets 363358 bytes 1082623290 (1.0 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 310592 bytes 37970748 (37.9 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 2844 bytes 779466 (779.4 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2844 bytes 779466 (779.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
NOTA: Esses IPs privados podem mudar e, portanto, não posso codificá-los.
Existe alguma outra maneira de configurá-lo no UFW ou no iptables?
Você não diz qual distro está usando, mas acredito que todas as suas regras estão armazenadas neste arquivo:
Você deve ser capaz de reorganizar o conteúdo deste arquivo para que seus CIDRs privados com as regras ALLOW venham primeiro com as regras DENY como os últimos itens da lista. Se você conseguiu reorganizar as coisas, o
sudo ufw statuscomando mostrará suas regras assim:Referências
Uma tática alternativa (ou complementar) sobre firewall é seguir a regra de ouro de não ter serviços/configurações desnecessárias e, portanto, não ter o Mysql respondendo em um endereço público em primeiro lugar.
A estratégia aconselhada aqui é vincular/fazer com que o daemon / serviço do Mysql escute apenas o endereço IP privado.
Edite
my.cnfe use:Como você menciona a mudança de endereços IP, como alternativa, você pode usar esta diretiva com um nome de host definido em /etc/hosts e alterá-lo antes de (re)iniciar o Mysql. (ou use um nome DNS privado se existe)
Reinicie o daemon do Mysql e o dispositivo não ouvirá mais solicitações em outros endereços IP.
PS Como bônus, desta forma você também não ficará preocupado com mudanças no endereço IP público. Quanto à alteração de endereços IP privados, isso deve ser abordado coagindo a configuração da rede ou com um endereço IP virtual ou alterando os arquivos de configuração em tempo real.
PPS este princípio é aplicável a outros serviços como o Tomcat atrás de um servidor Web. Você também pode vincular serviços ao host local somente quando o cliente reside na mesma máquina /VM
Também para lidar com alterações de endereço IP, consulte a pergunta relacionada Método para agir na alteração de endereço IP do ISP?