iptables-远程访问数据库端口策略
iptables-远程访问数据库端口策略
一个开发提出的业务需求,需要开通某台服务器,到某套数据库的访问权限,即1521端口访问权限,提交了网络工单,等网络实施后,进行测试,
> telnet x.x.x.x 1521 正在连接10.6.1.1...
竟然连接不通?咨询网络,确认已经开通了。还有什么问题?
朋友们可能已经猜出来,有可能是防火墙,屏蔽了对于1521端口的访问。如何验证?因为是测试环境,所以最简单的一种方法,就是关闭防火墙,
> service iptables stop
再测试这次就是通的了,
> telnet x.x.x.x 1521 Trying x.x.x.x... Connected to x.x.x.x (x.x.x.x). Escape character is '^]'.
说明网络开通了,但数据库服务器的防火墙,并未开放1521端口,因此导致telnet错误,解决方案当然不能是,关闭防火墙这种粗暴方法,而是可以增加,1521端口的访问策略。
解决方案:
1. 以root身份编辑/etc/sysconfig/iptables文件,向文件中增加,红色部分信息,
> vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
2. 重启iptables服务
service iptables restart iptables: Applying firewall rules: [ OK ]
此时1521端口,就可以正常访问。
对于iptables使用,可能会以上操作,基本就可以了,但若深究起来,iptables的学问真是很深,越看越觉得陌生,越觉得自己知道的只是皮毛,足以看出,“会用”和“精通”区别不小。
针对指令,
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT
含义就是,允许访问1521端口,其中一些参数,
-A:向规则链中添加条目;
-p:指定要匹配的数据包协议类型;
-j<目标>:指定要跳转的目标;
ACCEPT:表示接收数据包;
iptables命令选项输入顺序(引自:http://man.linuxde.net/iptables):
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
网上有篇文章,介绍基本概念通俗易懂,摘录一些,原文可以参考http://www.zsythink.net/archives/1199,
从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。 iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。 iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。 netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 网络地址转换(Network Address Translate) 数据包内容修改 以及数据包过滤的防火墙功能 所以说,虽然我们使用service iptables start启动iptables"服务",但是其实准确的来说,iptables并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能。
总结来讲,Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具。iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭、启动某组规则。iptable只读取数据包头,不会给信息流增加负担,也无需进行验证。(引自:https://www.centos.bz/2017/11/linux-iptables防火墙原理与常用配置/)
这张图是数据包,经过防火墙的流程图,(引自:http://www.zsythink.net/archives/1199)
iptables涉及Linux配置、网络等几方面的知识,一个小小的指令,可谓“博大精深”,如果对于开通数据库,端口访问策略,会用上面的指令,就已可以,若朋友们对此感兴趣,可以深入研究,还是能学习到,非常纯粹的知识。
参考文献:
https://wiki.debian.org/iptables
https://linux.die.net/man/8/iptables
http://www.zsythink.net/archives/1199
https://www.centos.bz/2017/11/linux-iptables防火墙原理与常用配置/
http://www.linuxidc.com/Linux/2016-09/134832.htm
http://man.linuxde.net/iptables