我在提供 MySQL 服务的服务器上有一个相当简单的 iptables 防火墙,但 iptables 似乎给我非常不一致的结果。
脚本的默认策略如下:
iptables -P INPUT DROP
然后我可以使用以下规则公开 MySQL:
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
有了这个规则,我可以毫无问题地从任何源 IP 连接到服务器上的任何目标 IP 的 MySQL。但是,当我尝试通过将上面的行替换为以下内容来限制对三个 IP 的访问时,我遇到了麻烦(xxx=masked octect):
iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.184 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.196 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.251 -j ACCEPT
一旦上述规则到位,就会发生以下情况:
我可以从 .184、.196 和 .251 主机连接到 MySQL 服务器,只要使用它的默认 IP 地址或与默认 IP 地址位于同一子网中的 IP 别名连接到 MySQL 服务器即可。
当我来自 .184 或 .196 主机时,我无法使用从与服务器默认 IP 不同的子网分配给服务器的 IP 别名连接到 MySQL,但 .251 工作正常。从 .184 或 .196 主机,telnet 尝试只是挂起...
# telnet 209.xxx.xxx.22 3306 Trying 209.xxx.xxx.22...如果我删除 .251 行(使 .196 成为最后添加的规则),.196 主机仍然无法使用 IP 别名连接到 MySQL(因此导致不一致行为的不是规则的顺序)。我知道,这个特定的测试很愚蠢,因为这三个规则的添加顺序无关紧要,但我想有人可能会问。
如果我切换回“公共”规则,所有主机都可以使用默认或别名 IP(在任一子网中)连接到 MySQL 服务器:
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
服务器在 CentOS 5.4 OpenVZ/Proxmox 容器 (2.6.32-4-pve) 中运行。
而且,以防万一您更喜欢在 iptables 脚本的上下文中查看问题规则,这里是 (xxx=masked octect):
# Flush old rules, old custom tables
/sbin/iptables --flush
/sbin/iptables --delete-chain
# Set default policies for all three default chains
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# Enable free use of loopback interfaces
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# All TCP sessions should begin with SYN
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Accept inbound TCP packets (Do this *before* adding the 'blocked' chain)
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow the server's own IP to connect to itself
/sbin/iptables -A INPUT -i eth0 -s 208.xxx.xxx.178 -j ACCEPT
# Add the 'blocked' chain *after* we've accepted established/related connections
# so we remain efficient and only evaluate new/inbound connections
/sbin/iptables -N BLOCKED
/sbin/iptables -A INPUT -j BLOCKED
# Accept inbound ICMP messages
/sbin/iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT
# ssh (private)
/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s xxx.xxx.xxx.xxx -j ACCEPT
# ftp (private)
/sbin/iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s xxx.xxx.xxx.xxx -j ACCEPT
# www (public)
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# smtp (public)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2525 -j ACCEPT
# pop (public)
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# mysql (private)
/sbin/iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.xxx.xxx.184 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.xxx.xxx.196 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.xxx.xxx.251 -j ACCEPT
有任何想法吗?提前致谢。:-)
.184 或 .196 主机客户端主机在您的另一个子网中是否也有其他 IP 地址?
如果您执行 a
tcpdump -qn port 3306并尝试从其中一个系统连接,您会看到什么?你看到你期望的源地址了吗?这可能是一个简单的路由问题。当系统做出路由决策时,它会查询路由表。路由表是一个始终按特定顺序查询的列表。本地网络的链接路由几乎总是最优选的路由,并且将在使用网关(路由器)的路由之前使用。默认网关始终是在没有其他路由适用时使用的路由。如果给定路由具有已
src定义的路由,则该地址将是首选地址,并且最有可能在使用该路由时使用。因此,鉴于这个多宿主系统的示例路由表,任何目的地
10.2.13.0/24都将来自10.2.13.1,而任何目的地10.2.4.0/23都将来自10.2.4.245。