先说下-l绑定本机网卡的问题,当使用-l 127.0.0.1运行md的时候,只有本机能connect上这个memcache;让使用-l 10.0.0.2运行的时候(这里假定10.0.0.2是md机器对外的ip),任何机器都可以连上这个memcache。同事有人指出,-l实际上就是在指定绑定机器的那个网卡的问题,比如当使用ifconfig的时候,显示信息类似如下:
eth0 Link encap:Ethernet HWaddr 00:17:a4:3a:e8:56
inet addr:10.0.0.2 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::217:a4ff:fe3a:e856/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1635820 errors:0 dropped:0 overruns:0 frame:0
TX packets:20283 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:148717543 (141.8 MiB) TX bytes:2281514 (2.1 MiB)
Interrupt:25
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1526 (1.4 KiB) TX bytes:1526 (1.4 KiB)
这样当使用-l 127.0.0.1的参数跑的时候是绑定lo,监听来自lo的连接,这样只有本机能connect,;当使用-l 10.0.0.2的参数跑的时候是绑定eth0(对外ip),这样外面的任何机器都能connect。
当使用-l制定对外ip的时候,肯定不希望任何机器都能连接上我们服务器的memcached,希望只要指定ip的机器能连上memcached,比如这个例子中的apache(ip:10.0.0.1)和memcached本机(10.0.0.2),这个时候就是需要iptables的时候,先写一个规则文件iptable-rules,类似如下(这里假定11211是memcached跑的端口):
=============
*filter
-A INPUT -i lo -j ACCEPT
#38049
-A INPUT -p tcp -m tcp --dport 11211 -s 10.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11211 -s 10.0.0.2 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11211 -j REJECT
COMMIT
=============
然后使用命令iptables-restore < iptable-rules 应用这些规则。成功后使用iptables -L 可以看到对端口的限制已经生效