ElasticSearch 使用 IP 表限制访问答案

【问题标题】：ElasticSearch restrict access using IP tablesElasticSearch 使用 IP 表限制访问
【发布时间】：2014-03-08 22:23:30
【问题描述】：

我见过几个这样的死线程

IP Address Restriction in Bonsai ElasticSearch as a Heroku Addon

还有这个

https://stackoverflow.com/questions/16121531/tomcat-restrict-ip-access-ip-range-format

这是我第一次将 ElasticSearch 服务器托管到 linux 机器上。假设我的 ES 服务器位于 http://161.241.117.47:9200，并且我在 161.241.117.41 有一个应用服务器

问题是我可以如何处理我的 ip 表，以便只有来自 161.241.117.41 的 http 请求才能得到满足

另外，是否有可能根据以太网地址在 iptable 中创建规则？所以我可以使用 HTTP 从我的 latptop 连接？

我知道我可以使用以下内容

sudo iptables -A INPUT -p tcp --dport 9200 -j ACCEPT

但这将允许所有传入连接。

当我使用以下答案中的建议时，它可以在一个 IP 上正常工作，但不能在两个 IP 上正常工作！我的iptable目前看起来是这样的，无法过滤多个IP

 INPUT ACCEPT [554:135189]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3207:497908]
-A INPUT -s 182.72.29.250/32 -p tcp -m tcp --dport 9200:9400 -j ACCEPT
-A INPUT -s 162.243.225.24/32 -p tcp -m tcp --dport 9200:9400 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9200:9400 -j REJECT --reject-with icmp-port-unreachable
COMMIT

【问题讨论】：

标签： linux security elasticsearch iptables

【解决方案1】：

首先，您需要设置可以访问计算机的IP

iptables -I INPUT 1 -p tcp --dport 9200:9400 -s IP_ADRRESS_1,IP_ADRRESS_2,IP_ADRRESS_3 -j ACCEPT

然后，您需要限制除指定IP 之外的任何IP 都可以访问您的端口。

iptables -I INPUT 4 -p tcp --dport 9200:9400 -j REJECT

最后将你的设置保存到一个文件中。

sudo sh -c "iptables-save > /etc/iptables.rules"

如果您希望这些更改在重新启动时仍然存在，请执行 sudo vi /etc/network/interfaces 并添加以下 pre-up iptables-restore < /etc/iptables.rules

需要记住的几件事：

您可以在第一个命令中添加更多 ip。
如果您添加额外的 ip，您应该在第二个命令中设置 value(4)。这是规则顺序，所以它必须是最新的规则。因此，为您添加的每个 ip 添加 1。

【讨论】：

这是否意味着如果我只有两个 IP，那么第二个命令将有 2 个？无论如何，我们可以通过以太网地址限制访问？
如果您有两个 IP，第二个命令将有 3 个（如果您没有任何其他 IP 表设置）。对于你的第二个问题，我没有答案:(
喂，9400是什么意思？
@HenleyChiu 这是规则的顺序。规则 1 IP_1、规则 2 IP_2、规则 3 IP_3 和规则 4 是 REJECT 剩下的。
别忘了将 127.0.0.1 添加到 ip 列表中