如何通过iptables防火墙保护oracle数据库

我们可以通过以下的iptables的设置来限制用户访问oracle所在linux操作系统的安全

1、清楚操作系统默认的iptables策略

      我本机安装的是centos6.0,安装之后系统会提供iptables默认的policy策略,我们首先要清楚默认的策略

      iptables -F

2、开发22和1521端口对局域网的某个IP，在本例中客户端ip是192.168.1.125,oracle所在机器的IP是192.168.1.144,在这里，设置仅有该客户端可以访问22和1521端口，局域网内的其他IP都不允许访问，

    iptables -A INPUT -s 192.168.1.125/32 -i eth0 -p tcp  --dport 22 -j ACCEPT
    iptables -A INPUT -s 192.168.1.125/32 -i eth0 -p tcp  --dport 1521 -j ACCEPT
    iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 22 -j DROP
    iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 1521 -j DROP

    这样同一网段内除192.168.1.125之外其他IP都不能访问数据库服务器，即使ping命令也不可以

3、开发22和1521的OUTPUT链给192.168.1.125，否则已经启动的oracle instance的pmon进程无法动态注册到1521端口中

     iptables -A OUTPUT -d 192.168.1.125/32 -p tcp  --sport 22 -j ACCEPT
     iptables -A OUTPUT -d 192.168.1.125/32 -p tcp --sport 1521 -j ACCEPT

4、保存当前设置的iptables规则

      service iptables save

      这时系统会将已经设置的规则保存到/etc/sysconfig/iptables文件中

      否则重启之后之前设置的规则都会失效

转载于:https://blog.51cto.com/winlei/800339