ElasticSearch restreint l’access à l’aide de tables IP

J’ai vu deux fils morts comme celui-ci

Ressortingction d’adresse IP dans Bonsai ElasticSearch en tant qu’addon Heroku

et ça

https://stackoverflow.com/questions/16121531/tomcat-ressortingct-ip-access-ip-range-format

C’est la première fois que je héberge un serveur ElasticSearch sur une machine Linux. Supposons que mon serveur ES se trouve à l’ http://161.241.117.47:9200 et que j’ai un serveur d’applications à 161.241.117.41

La question est ce que je peux faire avec mes tables IP afin que les requêtes HTTP à 161.241.117.47:9200 ne soient sockets en charge que si elles proviennent de 161.241.117.41

De plus, existe-t-il une possibilité de créer une règle dans iptable basée sur une adresse Ethernet? Donc, je peux me connecter à partir de mon latptop via HTTP?

Je sais que je peux utiliser quelque chose comme suivre

 sudo iptables -A INPUT -p tcp --dport 9200 -j ACCEPT 

Mais cela permettra toutes les connexions entrantes.

Lorsque j’ai utilisé les suggestions de la réponse suivante, cela a fonctionné correctement avec une adresse IP mais pas pour deux! Mon iptable ressemble actuellement à ceci et n’est pas capable de filtrer plusieurs IP

  INPUT ACCEPT [554:135189] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3207:497908] -A INPUT -s 182.72.29.250/32 -p tcp -m tcp --dport 9200:9400 -j ACCEPT -A INPUT -s 162.243.225.24/32 -p tcp -m tcp --dport 9200:9400 -j ACCEPT -A INPUT -p tcp -m tcp --dport 9200:9400 -j REJECT --reject-with icmp-port-unreachable COMMIT 

Tout d’abord, vous devez définir les adresses IP qui peuvent atteindre l’ordinateur.

 iptables -I INPUT 1 -p tcp --dport 9200:9400 -s IP_ADRRESS_1,IP_ADRRESS_2,IP_ADRRESS_3 -j ACCEPT 

Ensuite, vous devez restreindre toutes les IP, sauf celles spécifiées peuvent atteindre vos ports.

 iptables -I INPUT 4 -p tcp --dport 9200:9400 -j REJECT 

Enfin, enregistrez vos parameters dans un fichier.

 sudo sh -c "iptables-save > /etc/iptables.rules" 

Si vous souhaitez que ces modifications persistent lors des redémarrages, exécutez sudo vi /etc/network/interfaces et ajoutez les pre-up iptables-restore < /etc/iptables.rules

Peu de choses à retenir:

  1. Vous pouvez append plus d'ips à la première commande.
  2. Si vous ajoutez des ips supplémentaires, vous devez définir la valeur (4) dans la deuxième commande. C'est l'ordre des règles, donc il doit s'agir de la règle la plus récente. Ajoutez donc 1 pour chaque ip que vous ajoutez.