Как закрыть доступ по IP для grafana?

Question

[hrvasiliy]

По умолчанию, после установки grafana попасть в веб интерфейс можно http://$serverip:3000. Я разобрался как настроить доступ к веб интерфейсу через свой домен (использовал проксирование), но при этом доступ по http://$serverip:3000 остался также рабочим - что не особо безопасно, если там отображается какая-то важная статистика.

Можно ли как-то запретить на уровне grafana доступ по прямому IP сервера? Или стоит использовать iptables для запрета из вне, но для открытия с локалхоста?

Comments

[Karmashkin]

Стоит использовать iptables для закрытия всего кроме нужного вам.

Answer 1

[krosh]

iptables -A INPUT -m tcp -p tcp --dport 3000 -j DROP

а лучше так
iptables  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

Comments

[hrvasiliy]

А как вам такое решение?

sudo iptables -I INPUT 1 -p tcp -s $host --dport 3000 -j ACCEPT
sudo iptables -I INPUT 3 -p tcp --dport 3000 -j DROP

[krosh]

hrvasiliy: хорошо, как частный случай для блокировки 3000 порта.

Answer 2

[planc]

стоит повесить его на localhost и портфорвардить через ssh
ssh -L 3000:localhost:3000 serverip

Comments

[hrvasiliy]

А просто закрыть извне и оставить локально нельзя? Чтобы nginx проксирование работало. То есть сейчас у меня конфиг nginx слушает 443 порт на определенный домен, когда я попадаю на этот домен, он проксирует запрос на localhost:3000

[hrvasiliy]

Пока решил вот таким способом:

sudo iptables -I INPUT 1 -p tcp -s $host --dport 3000 -j ACCEPT
sudo iptables -I INPUT 3 -p tcp --dport 3000 -j DROP

Есть ли тут недостатки?

[planc]

А просто закрыть извне и оставить локально нельзя?

я так и говорю сделать

https://www.youtube.com/watch?v=OXed4jhun68

Answer 3

[SlavikF]

То есть вы считаете, что доступ через http://$serverip:3000 - это несекъюрно. А через доменное имя будет секъюрно? В чём разница? Или $serverip у вас за НАТом?