Как открыть порт только для одного IP-адреса? (IPtables)

Question

У меня дома есть маленький сервер и большой арендованный сервер. Я хочу использовать (несмотря на то, что это может привести к разрыву моего интернет-соединения) мой сервер дома в качестве сервера базы данных. Арендованный сервер имеет фиксированный IP-адрес, так как я могу открыть порт MySQL (я думаю, 3306), чтобы только IP-адрес моего арендованного сервера мог получить доступ к базе данных? Я использую Debian на обоих серверах, поэтому я хотел бы настроить это с помощью IPTables

// Редактировать: Если я что-то пропустил, или это дубликат другого вопроса, извините, я новичок в этом форуме ... Если вам нужна дополнительная информация, спросите об этом, тогда я могу предоставить ее.

Answer 1

У вас есть несколько шагов, которые вы должны пройти, чтобы эта настройка работала.

• Настройте порт на вашем роутере.
• Установите какой-нибудь dyndns, потому что, скорее всего, ваш домашний IP будет меняться очень часто.
• Настройте правила брандмауэра для своего дома и арендованного сервера.
  • Для конкретных шагов вы должны будете уточнить ваши текущие настройки для ваших серверов. У вас уже есть некоторые правила iptables? В противном случае вы можете просто использовать правило, например iptables -A INPUT -i eth0 -p tcp --dport 3306 --source <serverip> -j ACCEPT

Возможно, вы захотите поближе познакомиться с тем, как работает iptables, прочитав более общее руководство. У iptables есть несколько очередей (цепочек), которые по умолчанию являются Input, Forward и Output. В Википедии есть хорошая схема для этого, но она довольно сложная. По сути, вы, скорее всего, будете работать с цепочками ввода и вывода для фильтрации трафика так, как вы хотите. Не забывайте, что по умолчанию цепочки обычно принимают все, поэтому вы можете запустить что-то вроде этого iptables -P INPUT DROP чтобы отбросить весь трафик, который не соответствует правилу. система. Существуют инструменты, которые могут помочь вам сделать такие изменения менее опасными. ;)