为 MongoDB 配置 Linux iptables 防火墙

在本页面

• Overview

• Patterns

• 将默认策略更改为 DROP

• Management 和维护 iptables 配置

在现代 Linux 系统上，iptables程序提供了用于 ManagementLinux 内核的netfilter或网络数据包过滤功能的方法。这些防火墙规则使 Management 员可以控制哪些主机可以连接到系统，并通过限制可以连接到系统的主机来限制风险。

本文档概述了 Linux 上iptables防火墙的基本防火墙配置。使用这些方法作为大型网络组织的起点。有关 MongoDB 的安全性实践和风险 Management 的详细概述，请参阅Security。

Overview

iptables配置中的规则分为多个链，描述了过滤和处理特定流量流的过程。链具有 Sequences，并且数据包必须通过链中的较早规则才能到达较后规则。本文档仅涉及以下两个链：

• INPUT

  • 控制所有传入流量。

• OUTPUT

  • 控制所有传出流量。

给定所有 MongoDB 进程的default ports，您必须配置网络规则，以允许应用程序与适当的mongod和mongos实例之间仅仅进行必需的通信。

请注意，默认情况下，默认情况下iptables的策略是允许所有连接和流量，除非明确禁用。本文档中概述的配置更改将使用默认策略创建规则，该规则明确允许来自特定地址和特定端口的流量，该策略将丢弃所有未明确允许的流量。正确配置iptables规则以仅允许您要允许的流量后，您可以将默认策略更改为 DROP。

Patterns

本部分包含一些配置iptables以供 MongoDB 部署使用的模式和示例。如果使用port配置设置配置了其他端口，则需要相应地修改规则。

往返于 Mongod 实例的流量

此模式适用于作为独立实例或replica set的一部分运行的所有mongod实例。

此模式的目标是明确允许流量从应用程序服务器到达mongod实例。在以下示例中，将<ip-address>替换为应用程序服务器的 IP 地址：

iptables -A INPUT -s <ip-address> -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d <ip-address> -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT

第一条规则允许端口27017上来自<ip-address>的所有传入流量，这允许应用程序服务器连接到mongod实例。第二条规则允许来自mongod的传出流量到达应用程序服务器。

10.10.10.10/24
10.10.10.10/255.255.255.0

往返 mongos 实例的流量

mongos实例为sharded clusters提供查询路由。Client 端连接到mongos实例，从 Client 端的角度来看，它们充当mongod实例。 mongos依次连接到作为分片群集组件的所有mongod实例。

使用相同的iptables命令来允许与这些实例之间的通信，就像从作为副本集成员的mongod实例进行通信一样。以往返 Mongod 实例的流量部分中概述的配置为例。

往返 MongoDB Config 服务器的流量

配置服务器托管的config database存储分片群集的元数据。配置服务器侦听端口27019上的连接。结果，将以下iptables规则添加到配置服务器，以允许端口27019上的传入和传出连接，以连接到其他配置服务器。

iptables -A INPUT -s <ip-address> -p tcp --destination-port 27019 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d <ip-address> -p tcp --source-port 27019 -m state --state ESTABLISHED -j ACCEPT

将<ip-address>替换为提供配置服务器的所有mongod的地址或地址空间。

此外，配置服务器需要允许来自群集中所有mongos实例和群集中所有mongod实例的传入连接。添加类似于以下内容的规则：

iptables -A INPUT -s <ip-address> -p tcp --destination-port 27019 -m state --state NEW,ESTABLISHED -j ACCEPT

将<ip-address>替换为mongos实例和分片mongod实例的地址。

往返 MongoDB 分片服务器的流量

Shard servers默认为端口号27018。您必须配置以下iptables规则以允许往返每个分片的流量：

iptables -A INPUT -s <ip-address> -p tcp --destination-port 27018 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d <ip-address> -p tcp --source-port 27018 -m state --state ESTABLISHED -j ACCEPT

将<ip-address>规范替换为所有mongod的 IP 地址。这使您可以允许所有分片(包括组成副本集成员)之间的传入和传出流量：

• 分片副本集中的所有mongod个实例。

• 其他分片中的所有mongod个实例。 [1]

此外，分片需要能够构建与以下各项的传出连接：

• 配置服务器中的所有mongod个实例。

创建类似于以下内容的规则，并将<ip-address>替换为配置服务器和mongos实例的地址：

iptables -A OUTPUT -d <ip-address> -p tcp --source-port 27018 -m state --state ESTABLISHED -j ACCEPT

为监控系统提供访问权限

mongostat诊断工具与--discover一起运行时，需要能够访问群集的所有组件，包括配置服务器，分片服务器和mongos实例。

在版本 3.6 中进行了更改：MongoDB 3.6 删除了 MongoDB 弃用的 HTTP 接口和 REST API。

将默认策略更改为 DROP

iptables链的默认策略是允许所有流量。完成所有iptables配置更改后，您必须*将默认策略更改为DROP，以便上述未明确允许的所有流量都无法到达 MongoDB 部署的组件。发出以下命令来更改此策略：

iptables -P INPUT DROP

iptables -P OUTPUT DROP

Management 和维护 iptables 配置

本节包含一些用于 Management 和使用iptables的基本操作。有多种前端工具可以自动完成iptables配置的某些方面，但是在核心处，所有iptables前端都提供相同的基本功能：

永久保留所有 iptables 规则

默认情况下，所有iptables条规则仅存储在内存中。系统重新启动时，防火墙规则将恢复为默认值。测试规则集并确保其有效控制流量后，可以使用以下操作来使规则集持久化。

在 Red Hat Enterprise Linux，Fedora Linux 和相关发行版上，您可以发出以下命令：

service iptables save

在 Debian，Ubuntu 和相关发行版上，可以使用以下命令将iptables规则转储到/etc/iptables.conf文件：

iptables-save > /etc/iptables.conf

执行以下操作，恢复网络规则。

iptables-restore < /etc/iptables.conf

将此命令放置在您的rc.local文件中，或通过其他类似操作放置在/etc/network/if-up.d/iptables文件中。

列出所有 iptables 规则

要列出所有当前应用的iptables规则，请在系统 Shell 上使用以下操作。

iptables -L

刷新所有 iptables 规则

如果在 Importingiptables规则时犯了配置错误，或者仅需要恢复为默认规则集，则可以在系统 Shell 上使用以下操作来刷新所有规则：

iptables -F

如果您已经使iptables规则保持不变，则需要在使所有 iptables 规则永久存在部分中重复相应的过程。