Я хотел бы ограничить (через iptables или иначе) входящий трафик на 80/443 трафиком, исходящим от моего балансировщика нагрузки. У меня есть общедоступный IP-адрес (который, конечно, не меняется), но единственная информация о частном IP-адресе, которую я получаю, - это диапазон (я использую Rackspace "Cloud Load Balancer"), и я не хочу, чтобы входящий трафик откуда угодно, кроме моего собственного балансировщика нагрузки (в противном случае тот, кто знает IP моего сервера, может просто создать облачный балансировщик нагрузки и направить его на мой сервер). Если я использую общедоступный IP-адрес, не вызовет ли рукопожатие TCP много задержки (по сравнению с возможностью прямого подключения из моего центра обработки данных)? Я хочу иметь возможность полностью отключить свои серверы при возникновении проблем или для обновлений, но без необходимости возиться с низкоуровневым сетевым мусором во время этих проблем / обновлений.
Как насчет фильтрации чего-то, что НЕ меняется, например MAC-адреса?
http://tecadmin.net/mac-address-filtering-using-iptables
Allow Full Access to specific MAC
# iptables -I INPUT -m mac --mac-source 3E:D7:88:A6:66:8E -j ACCEPT
Allow port 80
# iptables -I INPUT -p tcp --dport 80 -m mac --mac-source 3E:D7:88:A6:66:8E -j ACCEPT