Я немного запутался и мог бы потребовать некоторых пояснений.
Скажем, я хочу запретить все подключения к серверу mongodb, кроме SSH с моего IP и с моего IP на порт 27017. Как я понимаю, я бы сначала установил разрешающие правила, а затем общие правила запрета
ufw allow from MY_IP to any port 22
ufw allow from MY_IP to any port 27017
ufw deny 22
ufw deny 27017
Это имеет смысл. Но теперь, допустим, я запускаю кластер серверов приложений, которым всем необходим доступ к серверу базы данных, и эти серверы могут быть созданы или уничтожены в любое время автоматически, что означает, что разрешенные IP-адреса будут изменены. Нужно ли мне удалять общие правила запрета каждый раз, когда я хочу добавить новое разрешение на конкретный сервер приложений, а затем воссоздавать их?
Вы можете использовать UFW / iptables, чтобы разрешить диапазоны.
Если ваши серверы созданы в одном и том же диапазоне, вы настраиваете определенные подсети, которые будут разрешены. пример:
ufw allow in on eth0 from 192.168.4.0/24 proto tcp to any port 1234