iptables-远程访问数据库端口策略

本人花费半年的时间总结的《Java面试指南》已拿腾讯等大厂offer,已开源在github ,欢迎star!

本文GitHub https://github.com/OUYANGSIHAI/JavaInterview 已收录,这是我花了6个月总结的一线大厂Java面试总结,本人已拿大厂offer,欢迎star

原文链接:blog.ouyangsihai.cn >> iptables-远程访问数据库端口策略

iptables-远程访问数据库端口策略

一个开发提出的业务需求,需要开通某台服务器,到某套数据库的访问权限,即1521端口访问权限,提交了网络工单,等网络实施后,进行测试,

telnet x.x.x.x 1521

正在连接10.6.1.1...

竟然连接不通?咨询网络,确认已经开通了。还有什么问题?

朋友们可能已经猜出来,有可能是防火墙,屏蔽了对于1521端口的访问。如何验证?因为是测试环境,所以最简单的一种方法,就是关闭防火墙,

service iptables stop

再测试这次就是通的了,

telnet x.x.x.x 1521
Trying x.x.x.x…
Connected to x.x.x.x (x.x.x.x).
Escape character is ‘^]’.

说明网络开通了,但数据库服务器的防火墙,并未开放1521端口,因此导致telnet错误,解决方案当然不能是,关闭防火墙这种粗暴方法,而是可以增加,1521端口的访问策略。

解决方案:

  1. 以root身份编辑/etc/sysconfig/iptables文件,向文件中增加,红色部分信息,

vi /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
  1. 重启iptables服务

service iptables restart
iptables: Applying firewall rules: [  OK  ]

此时1521端口,就可以正常访问。

对于iptables使用,可能会以上操作,基本就可以了,但若深究起来,iptables的学问真是很深,越看越觉得陌生,越觉得自己知道的只是皮毛,足以看出,“会用”和“精通”区别不小。

针对指令,

-A INPUT -m state –state NEW -m tcp -p tcp –dport 1521 -j ACCEPT

含义就是,允许访问1521端口,其中一些参数,

-A:向规则链中添加条目;

-p:指定要匹配的数据包协议类型;

-j目标:指定要跳转的目标;

ACCEPT:表示接收数据包;

iptables命令选项输入顺序(引自:http://man.linuxde.net/iptables):

iptables -t 表名 -A/I/D/R 规则链名 [规则号] -i/o 网卡名 -p 协议名 -s 源IP/源子网 --sport 源端口 -d 目标IP/目标子网 --dport 目标端口 -j 动作

网上有篇文章,介绍基本概念通俗易懂,摘录一些,原文可以参考http://www.zsythink.net/archives/1199,

从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。
主机防火墙:针对于单个主机进行防护。
网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。
网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。
 
从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。

**iptables**其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫**netfilter** ** ** netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。 iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。   netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 网络地址转换(Network Address Translate) 数据包内容修改 以及数据包过滤的防火墙功能   所以说,虽然我们使用service iptables start启动iptables"服务",但是其实准确的来说,iptables并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能。

总结来讲,Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具。iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭、启动某组规则。iptable只读取数据包头,不会给信息流增加负担,也无需进行验证。(引自:https://www.centos.bz/2017/11/linux-iptables防火墙原理与常用配置/)

这张图是数据包,经过防火墙的流程图,(引自:http://www.zsythink.net/archives/1199)

iptables-远程访问数据库端口策略

iptables涉及Linux配置、网络等几方面的知识,一个小小的指令,可谓“博大精深”,如果对于开通数据库,端口访问策略,会用上面的指令,就已可以,若朋友们对此感兴趣,可以深入研究,还是能学习到,非常纯粹的知识。

参考文献:

https://wiki.debian.org/iptables

https://linux.die.net/man/8/iptables

http://www.zsythink.net/archives/1199

https://www.centos.bz/2017/11/linux-iptables防火墙原理与常用配置/

http://www.linuxidc.com/Linux/2016-09/134832.htm

http://man.linuxde.net/iptables

如果您觉得此篇文章对您有帮助,欢迎关注微信公众号:bisal的个人杂货铺,您的支持是对我最大的鼓励!共同学习,共同进步:)

iptables-远程访问数据库端口策略 iptables-远程访问数据库端口策略
本人花费半年的时间总结的《Java面试指南》已拿腾讯等大厂offer,已开源在github ,欢迎star!

本文GitHub https://github.com/OUYANGSIHAI/JavaInterview 已收录,这是我花了6个月总结的一线大厂Java面试总结,本人已拿大厂offer,欢迎star

原文链接:blog.ouyangsihai.cn >> iptables-远程访问数据库端口策略


 上一篇
一次夜维SQL的性能优化 一次夜维SQL的性能优化
最近单位搬家,从国家会议中心,搬往空气清新的顺义后沙峪,搬迁之前的完结上线中,碰见了一些棘手的问题,有一些值得借鉴的地方。 这是一个夜维程序的优化。这个夜维的目的,是每日删除30+张表历史数据,其中的主要矛盾,是一张5000万的表
下一篇 
我经常用的一些vi快捷键 我经常用的一些vi快捷键
Linux下vi/vim的操作,当你不熟悉时,不会愿意用他,一旦你习惯了,他的高效就无人能敌,用久了就会有种,相逢恨晚的感觉,这也是一部分人,习惯使用Mac而不是Windows的原因。 vi操作,可以说基本上,围绕着键盘的每一个键