【www.bbyears.com--MongoDB】
服务器A搭建的mongodb,为了安全起见,在配置文件/etc/mongod.conf中设置了 band_ip=127.0.0.1。最近要允许其它主机访问服务器A的mongodb,理所当然的以为在band_ip中增加需要访问的主机的IP地址就可以实现这个需求,然后修改成如下之后:
band_ip=172.0.0.1,10.20.12.33
重启mongod服务,报错如下:
ERROR: listen(): bind() failed errno:99 Cannot assign requested address for socket: 10.20.12.33:27017
网上看的很多文章都说可以绑定多个IP,然而并没有说明band_ip实际只能绑定mongodb服务所在机器的网卡IP。为了防止被入侵,做了如下安全策略;
1,band_ip=0.0.0.0
2,增加iptables规则:
#禁止所有ip访问27017端口
iptables -I INPUT -p tcp –dport 27017 -j DROP
#允许10.20.12.33访问27017端口
iptables -I INPUT -s 10.20.12.33 -p tcp –dport 27017 -j ACCEPT
#允许本机访问27017端口
iptables -I INPUT -s 127.0.0.1 -p tcp –dport 27017 -j ACCEPT