MongoDB如何配置防火墙 - 问答

MongoDB 防火墙配置实操指南

一核心原则

仅在内网开放：将 MongoDB 的监听地址限制为内网接口（如 192.168.x.x/24），避免直接暴露在公网。MongoDB 自 3.6 起默认只绑定 localhost，如非必要不要改为 0.0.0.0。
最小权限放行：防火墙仅对可信来源放行 TCP 27017，优先使用 IP 或 CIDR 精确匹配。
强制身份认证：启用访问控制（账号口令/角色），未授权不得操作数据库。
加密传输：跨公网或不可信网络建议启用 TLS/SSL。
云上额外收紧：在云防火墙/安全组中仅允许应用服务器的源地址访问 MongoDB 实例。

二常用防火墙配置示例

firewalld（CentOS/RHEL 7+）
- 放行指定来源：
  - 单 IP：sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="<YOUR_IP>" port port="27017" protocol="tcp" accept'
  - 网段：sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="<YOUR_SUBNET>" port port="27017" protocol="tcp" accept'
- 如确需全网放行（不推荐）：sudo firewall-cmd --permanent --add-port=27017/tcp
- 使配置生效：sudo firewall-cmd --reload
- 查看规则：sudo firewall-cmd --list-all
UFW（Ubuntu）
- 放行指定来源：
  - 单 IP：sudo ufw allow from <YOUR_IP> to any port 27017 proto tcp
  - 网段：sudo ufw allow from <YOUR_SUBNET> to any port 27017 proto tcp
- 查看规则：sudo ufw status verbose
iptables（通用 Linux）
- 仅允许可信 IP 访问 27017：
  - sudo iptables -I INPUT -p tcp -s <YOUR_IP> --dport 27017 -j ACCEPT
  - sudo iptables -I INPUT -p tcp --dport 27017 -j DROP
- 持久化：根据发行版执行 iptables-save 或保存规则到配置文件。

三与 MongoDB 配置联动

绑定内网地址：编辑 /etc/mongod.conf，将 net.bindIp 设为内网 IP 或内网网段（逗号分隔），避免使用 0.0.0.0。示例：
- YAML：net: { port: 27017, bindIp: 192.168.1.10,127.0.0.1 }
- 或仅内网：bindIp: 192.168.1.0/24,127.0.0.1
启用认证：在配置中开启 security.authorization: enabled，并创建管理员与业务账号后再对外网开放。
修改端口：如需改为非默认端口（如 27018），同步在防火墙放行对应端口，且更新应用连接串。
重启生效：sudo systemctl restart mongod。

四云环境与安全组

云防火墙/安全组策略
- 入向仅允许应用服务器或跳板机的 源地址 访问 TCP 27017；对 0.0.0.0/0 明确拒绝。
- 在云防火墙的“互联网边界/访问控制”中，先创建可信源地址簿，再按“允许可信源 → 拒绝其他”的顺序配置策略，避免策略顺序错误导致放行失效。
云上实例绑定
- 启动参数或配置文件中将 MongoDB 绑定到实例的 内网 IP，不要绑定 0.0.0.0。

五验证与排错

端口连通性
- 本机：ss -lntp | grep 27017 或 sudo firewall-cmd --query-port=27017/tcp
- 远端：nc -vz <SERVER_IP> 27017 或 telnet <SERVER_IP> 27017
连通但认证失败：确认已创建用户并启用 authorization，使用 mongo --host <IP> --port 27017 -u <user> -p <pwd> --authenticationDatabase admin 测试。
规则未生效：检查规则顺序（UFW 自上而下、iptables 按插入顺序匹配）、是否 reload/保存、是否对正确接口/源网段放行。
仍无法访问：复核 bindIp 是否为内网地址、云安全组/本机防火墙是否同时放行、应用是否指向正确端口与 IP。

0 赞

0 踩