Web 서버와 DB 서버 분리시 Web서버에서의 DB 서버 접속이 안됩?

parkinsang의 이미지

안녕하십니까.

이번에 웹서버와 디비서버의 분리를 하려고 하는대.
Web서버로는 Apache를 사용하고 있고
DB서버로는 MySQL을 사용하고 있습니다..

잘됬었는대.. 방화벽 정책 적용후에 DB 서버의 연결이 안됩니다.
3306번 포트만 열어노면 되는것인지...

iptables -A INPUT -p tcp -dport 3306 -j ACCEPT
이거로는 안되는것인지요 -_ㅠ

방화벽 정책관해서 아직 모르는것이 많아서... 다른것들은 잡았는대
MySQL 쪽에서 막히내요... 조언을 부탁드립니다..

참고로 INPUT OUTPUT 모두 기본설정이 DROP 입니다..

익명 사용자의 이미지

이렇게 한번..

-A INPUT -p tcp -m tcp --dport 3306 --sync -j ACCEPT

이렇게...

mysql 쪽은 열어놓으신거죠?(쓰던것이라고 했으니, 열려있는 듯 하네요.)

parkinsang의 이미지

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -s 210.103.XXX.41 -j ACCEPT
iptables -A INPUT -s 210.103.XXX.40 -j DROP

iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -j DROP

iptables -A INPUT -s 255.255.255.255 -j DROP
iptables -A INPUT -s 0.0.0.0 -j DROP

iptables -A INPUT -s 224.0.0.0/4 -j DROP

iptables -A INPUT -s 240.0.0.0/5

iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 169.254.0.0/16 -j DROP
iptables -A INPUT -s 192.0.2.0/24 -j DROP
iptables -A INPUT -s 224.0.0.0/3 -j DROP

# UDP TRACEROUTE
# Traceroute Port 32769:65535
# dport 33434:33523

iptables -A INPUT -i eth0 -p udp --sport 32769:65535 -d 210.103.XXX.40 --dport 33434:33523 -j DROP
iptables -A OUTPUT -o eth0 -p udp -s 210.103.XXX.40 --sport 32769:65535 --dport 33434:33523 -j ACCEPT

# DNS Server
iptables -A INPUT -i eth0 -p udp --sport 1024: -d 210.103.XXX.40 --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s 210.103.XXX.40 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -d 210.103.XXX.40 --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s 210.103.XXX.40 --sport 53 --dport 53 -j ACCEPT

# DNS Client
iptables -A INPUT -i eth0 -p udp --sport 53 -d 210.103.XXX.40 --dport 1024: -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s 210.103.XXX.40 --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn --sport 53 -d 210.103.XXX.40 --dport 1024: -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s 210.103.XXX.40 --sport 1024: --dport 53 -j ACCEPT

# DNS Zone
iptables -A INPUT -i eth0 -p tcp -s 210.103.XXX.41 --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s 210.103.XXX.41 --sport 53 -d 210.103.XXX.41 --dport 1024: -j ACCEPT

# HTTP Server
iptables -A INPUT -i eth0 -p tcp --sport 1024: -d 210.103.XXX.40 --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s 210.103.XXX.40 --sport 80 --dport 1024: -j ACCEPT

# HTTPS Server
iptables -A INPUT -i eth0 -p tcp --sport 1024: -d 210.103.XXX.40 --dport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s 210.103.XXX.40 --sport 443 --dport 1024: -j ACCEPT

# MySQL Server
iptables -A INPUT -i eth0 -p tcp --sport 1024: -d 210.103.XXX.40 --dport 3306 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s 210.103.XXX.40 --sport 3306 --dport 1024: -j ACCEPT

# SSH Server
iptables -A INPUT -i eth0 -p tcp --sport 513:65535 -d 210.103.XXX.40 --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s 210.103.XXX.40 --sport 22 --dport 513:65535 -j ACCEPT

# SSH Client
iptables -A INPUT -i eth0 -p tcp -s 210.103.XXX.40 --sport 1022:65535 --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 22 -s 210.103.XXX.40 --dport 1022:65535 -j ACCEPT

# SMTP Client
iptables -A INPUT -i eth0 -p tcp ! --syn --sport 25 -d 210.103.XXX.40 --dport 1024: -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s 210.103.XXX.40 --sport 1024: --dport 25 -j ACCEPT

# ICMP
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -d 210.103.XXX.40 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -d 210.103.XXX.40 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type source-quench -d 210.103.XXX.40 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -d 210.103.XXX.40 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type parameter-problem -d 210.103.XXX.40 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -s 210.103.XXX.40 --icmp-type fragmentation-needed -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -s 210.103.XXX.40 --icmp-type source-quench -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -s 210.103.XXX.40 --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -s 210.103.XXX.40 --icmp-type parameter-problem -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -j DROP
iptables -A INPUT -i eth0 -p udp --dport 0:1023 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 1024: -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type 5 -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type 13/255 -j DROP
iptables -A OUTPUT -o eth0 -j REJECT

책보고 따라서 만든거랍니다 -_-;;
잘못된것 있으면 가차없이 말씀좀 부탁드립니다 -_ㅠ
아 그리고 Redhat 9.0 입니다..

될때까지 해보는그야 앙~!!!

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.