公司数据库服务器含有3306及27017相关高危漏洞,开发单位不维保。所以目前的解决思路是采用服务器本身自带的系统防火墙,将3306及27017端口只对特定的业务IP放行,其他的IP地址都无法访问。下面演示的是27017端口的调试,3306端口方法同理。
思路:1.拒绝所有针对本设备的27017端口访问请求;2.放行固定IP地址访问本设备的27017端口。
960 iptables -I INPUT -p tcp --dport 27017 -j DROP //首先拒绝所有针对27017端口的链接
961 iptables -I INPUT -s 192.168.2.210/28 -p tcp --dport 27017 -j ACCEPT //对IP段放行
962 iptables -I INPUT -s 192.168.1.11 -p tcp --dport 27017 -j ACCEPT //对单个IP放行
963 iptables -I INPUT -s 192.168.1.12 -p tcp --dport 27017 -j ACCEPT
964 iptables -I INPUT -s 192.168.1.13 -p tcp --dport 27017 -j ACCEPT
965 iptables -I INPUT -s 192.168.1.14 -p tcp --dport 27017 -j ACCEPT
966 iptables -I INPUT -s 192.168.1.15 -p tcp --dport 27017 -j ACCEPT
967 iptables -I INPUT -s 192.168.1.16 -p tcp --dport 27017 -j ACCEPT
968 iptables -I INPUT -s 192.168.1.17 -p tcp --dport 27017 -j ACCEPT
969 iptables -I INPUT -s 192.168.1.18 -p tcp --dport 27017 -j ACCEPT
970 iptables -I INPUT -s 192.168.1.19 -p tcp --dport 27017 -j ACCEPT
971 iptables -I INPUT -s 192.168.1.20 -p tcp --dport 27017 -j ACCEPT
972 iptables-save //保存配置
973 iptables --line-number -nvL INPUT //按序号展示防火墙INPUT放行条目
974 iptables -L -n --line-number //按序号展示防火墙放行条目
975 iptables -D INPUT 33 //单独删除防火墙某一条目