Estou configurando um servidor REDIS e quero permitir conexões somente de um conjunto de endereços IP específicos.
Este é um servidor Debian 10, e a estrutura recomendada para usar é nft, que eu não usei no passado.
O conjunto de regras padrão é este:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
Que regra preciso adicionar nesse arquivo para permitir que as conexões de entrada sejam redis do IP 1.1.1.1e 2.2.2.2, descartando todo o resto?
O REDIS está usando a porta 6379.
No caso de alguém se deparar com o mesmo problema, meu principal problema era que eu estava usando as regras na ordem incorreta.
Eu estava adicionando uma regra de descarte antes da regra de aceitação, e isso parece funcionar ao contrário.
Esta é uma regra de exemplo para descartar todos os endereços IP, exceto 2:
Arquivo de regras completo:
Um item altamente recomendável é
Observe que tudo é descartado, esta é a maneira mais segura de gerenciar seu firewall, todas as coisas são descartadas, a menos que seja explicitamente permitido.