Как закрыть доступ из-вне к mongodb?

Question

[Константин Пришвин]

Доброго времени суток. Пытаюсь закрыть доступ из-вне к mongodb, но ничего не получается.

Конфиг:

# mongodb.conf

# for documentation of all options, see:
#   http://docs.mongodb.org/manual/reference/configuration-options/

# where to write logging data.
systemLog:
  destination: file
  logAppend: true
  path: /var/log/mongodb.log

# Where and how to store data.
storage:
  dbPath: /var/db/mongodb
  journal:
    enabled: true

# network interfaces
net:
  port: 27017
  bindIp: 127.0.0.1

Логи:

2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] MongoDB starting : pid=56378 port=27017 dbpath=/var/db/mongodb 64-bit host=xxx
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] db version v3.2.11
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] git version: 009580ad490190ba33d1c6253ebd8d91808923e4
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] OpenSSL version: OpenSSL 1.0.2j-freebsd  26 Sep 2016
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] allocator: system
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] modules: none
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten] build environment:
2017-05-11T00:06:18.090+0300 I CONTROL  [initandlisten]     distarch: x86_64
2017-05-11T00:06:18.091+0300 I CONTROL  [initandlisten]     target_arch: x86_64
2017-05-11T00:06:18.091+0300 I CONTROL  [initandlisten] options: { config: "/usr/local/etc/mongodb.conf", net: { bindIp: "127.0.0.1", port: 27017 }, storage: { dbPath: "/var/db/mongodb", journal: { enabled: true } }, systemLog: { destination: "file", logAppend: true, path: "/var/log/mongodb.log" } }
2017-05-11T00:06:18.091+0300 I -        [initandlisten] Detected data files in /var/db/mongodb created by the 'mmapv1' storage engine, so setting the active storage engine to 'mmapv1'.
2017-05-11T00:06:18.099+0300 I JOURNAL  [initandlisten] journal dir=/var/db/mongodb/journal
2017-05-11T00:06:18.100+0300 I JOURNAL  [initandlisten] recover : no journal files present, no recovery needed
2017-05-11T00:06:19.067+0300 I JOURNAL  [durability] Durability thread started
2017-05-11T00:06:19.068+0300 I JOURNAL  [journal writer] Journal writer thread started
2017-05-11T00:06:19.072+0300 I CONTROL  [initandlisten] ** WARNING: soft rlimits too low. rlimits set to 10328 processes, 200000 files. Number of processes should be at least 100000 : 0.5 times number of files.
2017-05-11T00:06:19.074+0300 I FTDC     [initandlisten] Initializing full-time diagnostic data capture with directory '/var/db/mongodb/diagnostic.data'
2017-05-11T00:06:19.074+0300 I NETWORK  [HostnameCanonicalizationWorker] Starting hostname canonicalization worker
2017-05-11T00:06:19.085+0300 I NETWORK  [initandlisten] waiting for connections on port 27017
2017-05-11T00:08:04.322+0300 I NETWORK  [initandlisten] connection accepted from xxx.xxx.xxx.xxx:58529 #1 (1 connection now open)
2017-05-11T00:08:04.331+0300 I NETWORK  [initandlisten] connection accepted from xxx.xxx.xxx.xxx:58530 #2 (2 connections now open)
2017-05-11T00:08:05.783+0300 I NETWORK  [initandlisten] connection accepted from xxx.xxx.xxx.xxx:58531 #3 (3 connections now open)

Однако коннекты из-вне идут. На другом сервере с Debian такая конфигурация работала, коннекты шли только с локалхоста.

Comments

[Антон Уланов]

в файрволе пропишите запрет извне на порт 27017, бинд по локалхост ип должен непускать извне

[Довольный Айтишникъ]

У Вас в конфиге bindIp: 127.0.0.1, а разве не bind_ip = 127.0.0.1 правильно?

[Константин Пришвин]

Антон Уланов: это конечно вариант, но хотелось бы биндить только локалхосту.

[Константин Пришвин]

Вечно Голодный: даже не знаю, но судя по тому что монга запускается, так и так правильно.

[Довольный Айтишникъ]

Константин Пришвин: она может игнорировать неправильный вариант и поэтому слушать не только 127.0.0.1 а и всё остальное

Answer 1

[Константин Пришвин]

Проблема заключалась в том, что локальному интерфейсу не был назначен IP-адрес. После того как назначил, монга стала слушать запросы только с него. Всем спасибо за помощь.

Answer 2

[Евгений]

У меня в /usr/local/etc/mongodb.conf всего 1 строчка
bind_ip = 127.0.0.1
И команда
ps ax | grep LISTEN
выдает
LISTEN
tcp4 0 0 127.0.0.1.27017 *.*

Comments

[Константин Пришвин]

Не помогло, sockstat выдаёт:

USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
mongodb  mongod     68798 6  tcp4   xxx.xxx.xxx.xxx:27017    *:*
mongodb  mongod     68798 7  stream /tmp/mongodb-27017.sock

[Довольный Айтишникъ]

Константин Пришвин: В конфиге напишите bind_ip = 127.0.0.1 а не так как у Вас и перезапустите монгу. Неправильный параметр запросто может игнориться.

[Константин Пришвин]

Вечно Голодный: так и пробовал, не помогает. Создаётся впечатление, что монга просто игнорирует данную настройку.

[Довольный Айтишникъ]

Константин Пришвин: а случайно не существует ли еще и /etc/mongod.conf ?

[Константин Пришвин]

Вечно Голодный: нет, файла /etc/mongod.conf не существует. На FreeBSD всё по-другому, я её только начал изучать. Еще я менял порт в файле /usr/local/etc/mongodb.conf - работало по изменённому порту. То есть конфиг подгружается, помимо порта принимаются и другие параметры (расположение логов, расположение бд), но опция bindIp: 127.0.0.1 (или bind_ip = 127.0.0.1) игнорируется.

[athacker]

Вечно Голодный: Это старый формат конфига монги. Сейчас они YAML хотят. С точки зрения нового формата конфига, конфиг у товарища правильный, там именно bindIp: 127.0.0.1.

Но YAML не любит табуляцию, поэтому надо проверить все отступы от левого края, чтобы там были пробелы, а не табуляции.

[Довольный Айтишникъ]

athacker: Спасибо, буду знать

Answer 3

[athacker]

Убедитесь, что у вас перед bindIp пробелы, а не символ табуляции.

И после запуска монги вывод команд ipconfig и sockstat -4l в студию

Comments

[Константин Пришвин]

Перед bindIP 2 пробела, вывод после запуска:

ipconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4208b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWTSO>
        ether 00:30:48:dd:05:2e
        media: Ethernet autoselect
        status: no carrier
em1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4208b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWTSO>
        ether 00:30:48:dd:05:2f
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        groups: lo
em1.2: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:30:48:dd:05:2f
        inet 195.110.xxx.xxx netmask 0xffffffff broadcast 195.110.xxx.xxx
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        vlan: 2 vlanpcp: 0 parent interface: em1
        groups: vlan
em1.111: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:30:48:dd:05:2f
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        vlan: 111 vlanpcp: 0 parent interface: em1
        groups: vlan
bridge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: em1.2
        ether 02:1e:27:1e:df:01
        groups: bridge
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: em1.2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 20000

sockstat -4l

USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
mongodb  mongod     76874 6  tcp4   195.110.xxx.xxx:27017    *:*

[Константин Пришвин]

Вот так выглядит конфиг с включенным отображением пробелов:

Answer 4

[Philipp]

Вы занимаетесь какой-то ерундой. Нет ничего страшного в том, что MongoDB слушает какой-то интерфейс.
Обычно это решается настройкой фаервола.
То, на что вам нужно обратить внимание, это опции авторизации
https://docs.mongodb.com/manual/reference/configur...
Рано или поздно вам прийдется выйти за рамки локалхоста и прийдется настраивать авторизацию.