LINUX.ORG.RU

Проблема с iptables и портом 1521

 


0

1

Всем доброго времени суток, подскажите пожалуйста : Есть два компа

1 Centoc 7 с установленным веблоджиком и локальной Оракле базой. 10.1.72.66

2 Red Hat 7 с установленной оракловой базой данных. 10.1.72.60

При выполнения отчета веблоджик берет данные с 10,1,72,60, но правило не срабатывает

iptables -A INPUT -p tcp -s 10.1.72.60 -d 10.1.72.66 --sport 1521 --dport 1024:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT [\code] 

netstat -tlepna|grep 1521
tcp 0 0 0.0.0.0:1521 0.0.0.0:* LISTEN 1002 27874 4014/tnslsnr
tcp 0 0 10.1.72.66:45817 10.1.72.66:1521 ESTABLISHED 1002 33698 3154/java
tcp 0 0 10.1.72.66:1521 10.1.72.66:45817 ESTABLISHED 1002 35293 5173/oracleorcl
tcp 0 0 10.1.72.66:45593 10.1.72.66:1521 ESTABLISHED 1002 28452 4319/ora_lreg_orcl
tcp 0 0 10.1.72.66:1521 10.1.72.66:45901 ESTABLISHED 1002 33790 5207/oracleorcl
tcp 0 0 10.1.72.66:45813 10.1.72.66:1521 ESTABLISHED 1002 35221 3154/java
tcp 0 0 10.1.72.66:1521 10.1.72.66:45593 ESTABLISHED 1002 29118 4014/tnslsnr
tcp 0 0 10.1.72.66:1521 10.1.72.66:45813 ESTABLISHED 1002 35222 5128/oracleorcl
tcp 0 0 10.1.72.66:45901 10.1.72.66:1521 ESTABLISHED 1002 33789 3154/java

При политике INPUT DROP, Когда делаю INPUT ACCEPT видно следующие:

netstat -tlepna|grep 1521
tcp 0 0 0.0.0.0:1521 0.0.0.0:* LISTEN 1002 27874 4014/tnslsnr
tcp 0 0 10.1.72.66:45817 10.1.72.66:1521 ESTABLISHED 1002 33698 3154/java
tcp 0 0 10.1.72.66:1521 10.1.72.66:45817 ESTABLISHED 1002 35293 5173/oracleorcl
tcp 0 0 10.1.72.66:50228 10.1.72.60:1521 ESTABLISHED 1002 69430 7444/java
tcp 0 0 10.1.72.66:45593 10.1.72.66:1521 ESTABLISHED 1002 28452 4319/ora_lreg_orcl
tcp 0 0 10.1.72.66:1521 10.1.72.66:45901 ESTABLISHED 1002 33790 5207/oracleorcl
tcp 0 0 10.1.72.66:45813 10.1.72.66:1521 ESTABLISHED 1002 35221 3154/java
tcp 0 0 10.1.72.66:1521 10.1.72.66:45593 ESTABLISHED 1002 29118 4014/tnslsnr
tcp 0 0 10.1.72.66:1521 10.1.72.66:45813 ESTABLISHED 1002 35222 5128/oracleorcl
tcp 0 0 10.1.72.66:45901 10.1.72.66:1521 ESTABLISHED 1002 33789 3154/java


Видно что коннект к базе произошел, подскажите почему не работает правило ????

Содержимое IPTABLES

iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 445 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7001 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7002 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 10.1.72.60/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 1521 --dport 1024:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

LORCODE !!! и кнопка предпросмотр. Парсить эту кашу невозможно.

Правила iptables и netstat на какой машине выполнялись?

Зачем вы во все правила засовываете «ctstate NEW,ESTABLISHED»? Это же по сути лишние операции, если вы так боитесь «INVALID», дропайте их отдельным правилом.

10.1.72.66:1521

как-то не совпадает с

-d 10.1.72.66/32 --sport 1521

mky ★★★★★ ()
Ответ на: комментарий от mky

Сорри я пока нуб в таких делах, правила и нетстат выполнялись на той машине на которой стоит веблоджик. 10.1.72.66 необходимо чтобы с машины 10.1.72.60 с порта 1521 веблоджик забирал данные для отчета. Когда я открываю порт 1521 на 10.1.72.66, ситуаци не исправляется.

Narkolog ()
Ответ на: комментарий от mky

Может проблема из-за того что на 10.1.72.66 стоит локальная база Оракле, что тоже работает на порту 1521???

Narkolog ()

Очень трудно прочитать правила iptables. Переносы строк исчезли.Отредактируй, пожалуйста, сообщение, сделав так:

[code]
код
[/code]

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от ZenitharChampion
iptables -S -P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 445 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 7001 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 7002 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -A INPUT -s 10.1.72.60/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 1521 --dport 1024:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT
Narkolog ()
Ответ на: комментарий от ZenitharChampion

Странно, но заработал другой конфиг:


-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.1.72.61/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7001 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7002 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.1.72.60/32 -d 10.1.72.66/32 -p tcp -m tcp --sport 1521 --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[\code]

Narkolog ()
Ответ на: комментарий от andyl

Оракл в локальной сети, я имею ввиду что если взломают 10.1.72.60 Очень информативный ответ )))) спасибо за такое умное изречение.

Narkolog ()

Переоформите ваше сообщение с использованием тега [code][/code]

anonymous ()
Ответ на: комментарий от Narkolog

После перезагрузки данный конфиг перестал работать, помогите, в чем там может быть проблема?

Narkolog ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.