Centos 6.5 设置iptables (j2ee应用+oracle数据库同机） -

wangning1125

浏览: 170277 次
性别:
来自: 上海

最近访客更多访客>>

wxyit163

shangjiuliu

116856645

alanliurong

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

Centos 6.5 设置iptables (j2ee应用+oracle数据库同机）

博客分类：

Linux

最近公司迁移服务器，搞好所有环境后我发现防火墙没开，就设置了一下，然而发现设置完之后本机的应用连接不到同机的oracle数据库，但是我远程用plsql dev是可以连接的，而且1521端口也是开放的。但是就是本机连接不到，我就纳了闷了，然后我用netstat -apnt命令查看了一下java程序已经连接的端口，结果发现和oracle建立了很多10000-65535的端口连接，而且这些端口都是随机生成的，每次启动应用都会变。

  netstat -anpt|grep java
tcp        0      0 0.0.0.0:8080         0.0.0.0:*            LISTEN      7964/java           
tcp        0      0 127.0.0.1:8005       0.0.0.0:*            LISTEN      7964/java           
tcp        0      0 0.0.0.0:8009         0.0.0.0:*            LISTEN      7964/java           
tcp        0      0 127.0.0.1:11405      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11404      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11392      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11407      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11388      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11396      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11383      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11403      127.0.0.1:1521       ESTABLISHED 7964/java           
tcp        0      0 127.0.0.1:11406      127.0.0.1:1521       ESTABLISHED 7964/java

因为本机访问127.0.0.1 这个ip 也是要经过防火墙的，而这些随机端口也会被防火墙拦截，这就是为什么本机连接不到oracle的原因。

这有什么办法解决呢，因为我对Linux也不熟，搞了好久，最后加了一条规则解决这个问题

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 1:65535 -j ACCEPT;

上面这个规则的意思是对本机的访问开放所有的端口

最后放上所有的规则配置

--对内访问控制             
#允许ping                                                
iptables -A INPUT -p icmp -j ACCEPT; 
#开放22端口，ssh       							 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT; 
#开放ftp端口，ssh    					       
iptables -A INPUT -p tcp --dport 21 -j ACCEPT; 
#开放80端口    					       
iptables -A INPUT -p tcp --dport 80 -j ACCEPT;   
#开放8080端口 (如果不开放8080端口将转发不到80端口)  					       
iptables -A INPUT -p tcp --dport 80 -j ACCEPT;    
#开放1521(ORACLE)端口 					       
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT;  
#开放5901(VNC SERVER)端口   				       
iptables -A INPUT -p tcp --dport 5901 -j ACCEPT;     
#对所有已经建立的连接开放				       
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;  
#开放DNS ，否则iptables对域名解析很慢  	  
iptables -A INPUT -p udp --sport 53 -j ACCEPT;     					       
#对本机的访问开放所有的端口 （这条很重要，我就是因为一开始没加这条导致一开防火墙JAVA程序就连接不了本地的ORACLE数据库）
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 1:65535 -j ACCEPT;      
#设置默认INPUT链丢失所有连接，此条慎重，一定要开启22端口后才能设置此条      
iptables -A INPUT -j REJECT  	

																      
 --转发控制 	
 #（加这条的目的让所有访问80端口的连接都转发到8080端口，因为我是用普通用户启动tomcat，
 而1000以下的端口只能被root用户使用，所以需要转发一下）
	
 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 

--对外访问控制
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT;

效果图如下：