背景:由於安全檢查的要求,需要開啟伺服器的防火牆,但是伺服器上部署著oracle rac集群;防火牆開啟後,必須保障oracle rac正常執行。
修改防火牆:vi /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:input accept [0:0]
:forward accept [0:0]
:output accept [0:0]
-n whitelist
-a whitelist -s 1.10.12.66 -j accept
-a whitelist -s 1.10.12.67 -j accept
-a whitelist -s 1.10.12.85 -j accept
-a whitelist -s 1.10.12.86 -j accept
-a whitelist -s 1.10.12.87 -j accept
-a whitelist -s 1.10.12.16 -j accept
-a whitelist -s 1.12.56.17 -j accept
-a input -m state --state established,related -j accept
-a input -p icmp -j accept
-a input -i lo -j accept
-a input -i eth0 -j accept
-a input -i eth0:1 -j accept
-a input -p tcp -j whitelist
-a input -p udp -j whitelist
-a input -j reject --reject-with icmp-host-prohibited
-a forward -j reject --reject-with icmp-host-prohibited
commit
注意事項:最後,service iptables start,開啟防火牆即可。whitelist(白名單),必須包含集群中所有節點的public ip、 vip 、private ip,最好是使用ifconfig檢視,裡面所有的ip都放到白名單裡面的。
私有ip的網絡卡,以及繫結網絡卡:
-a input -i eth0 -j accept
-a input -i eth0:1 -j accept
允許白名單裡面的所有tcp、udp請求,不限制任何埠:oracle rac集群私網通訊時,用到了udp。
-a input -p tcp -j whitelist
-a input -p udp -j whitelist
其它項,就不一一解釋了。
擴充套件:linux /etc/sysconfig/iptables檔案詳解,見下文:
開啟Windows防火牆
先測試登錄檔項是否存在,如果不存在則先建立 if sdatestkeyexist hkey local machine system currentcontrolset services sharedaccess parameters firewallpolicy standardprofile f...
ubuntu 開啟防火牆 開啟埠
sudo ufw status 狀態 啟用 至 動作 來自 80 allow anywhere 8001 allow anywhere 80 v6 allow anywhere v6 8001 v6 allow anywhere v6 開啟防火牆的狀態下,只有系統允許的埠才能被其他主機訪問。sudo...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...