Открытый порт iptables с IP псевдонимом
да это рекомендуемый подход. одна вещь также возможна, когда Ваше приложение становится более сложным, и у Вас есть различные части, которые должны сделать другую работу над Вашей базой данных, Вы могли создать больше учетных записей, например, один с rw доступом и один только с доступом для чтения.
но обязательно не сделайте это более сложным по мере необходимости. это вернется все соображения безопасности, потому что в какой-то момент вовремя Вы не знаете, в каком пользователе использовать, что для и каждый пользователь получит больше полномочий, чем, он нуждается.
Никакое перенаправление портов не требуется. Удостоверьтесь своя точка имен DNS в alias.ip, и это должно работать. Если alias.ip является внутренним IP-адресом, и Вам нужно это, чтобы быть доступными в общедоступном Интернете, то те же правила применяются что касается любого другого IP-адреса. Пример (чтобы быть помещенным в iptables на шлюзе, который делает передачу):
iptables -t nat -A PREROUTING -p tcp -d 123.234.0.1 --dport 8080 -j DNAT --to-destination <alias.ip>:80
Это передаст входящие запросы для портирования 8080 на IP-адресе 123.234.0.1 для портирования 80 на IP псевдонима. Очевидно, чтобы это работало, общедоступный DNS должен указать на 123.234.0.1, и пользователи должны знать, что должны использовать порт 8080 в их запросах браузера.
Вам, возможно, также понадобятся другие правила iptables позволить входящий трафик на порте 8080 и т.д...