利用iptables防火墙保护Oracle数据库
【转】http://www.gbunix.com/htmldata/2005_11/2/5/article_1271_1.html
使用如下脚本可以保护运行oracle数据库的linux主机
测试环境:服务器 RHEL AS3u3 +Oracle 10g, 客户端Windows 2000 sp4+Oracle 9i
################oraclefirewall.sh############################## #!/bin/bash
LC_ADDR=192.168.1.99 LO_ADDR=127.0.0.1
iptables -F #清除现有的规
iptables -P INPUT DROP #iptables -P OUTPUT DROP #设置INPUT和OUTPUT链的默认规则为DROP,既不允许任何包到达本机,也不允许本机向外发包
iptables -A INPUT -p ALL -s $LC_ADDR -d $LC_ADDR -j ACCEPT iptables -A OUTPUT -p ALL -s $LC_ADDR -d $LC_ADDR -j ACCEPT iptables -A INPUT -p ALL -s $LO_ADDR -d $LO_ADDR -j ACCEPT iptables -A OUTPUT -p ALL -s $LO_ADDR -d $LO_ADDR -j ACCEPT #允许本机和本机联系,必须打开,否则listener无法正常启动
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT #添加规则,允许入站的ssh连接
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT iptables -A OUTPUT -p tcp --sport 1521 -j ACCEPT #添加规则,允许入站的1521端口的连接,也就是允许其他主机通过监听器访问本机的数据库。 #如果listener监听的不是1521端口,则要做相应的修改
iptables -A INPUT -p tcp --dport 5560 -j ACCEPT iptables -A OUTPUT -p tcp --sport 5560 -j ACCEPT #添加规则,允许入站的5560端口的连接,也就是允许其他主机访问本机的isqlplus
iptables -A INPUT -p tcp --dport 5500 -j ACCEPT iptables -A OUTPUT -p tcp --sport 5500 -j ACCEPT #添加规则,允许入站的55600端口的连接,也就是允许其他主机访问本机的em ################end of here##############################
|
了解更多详情,参与讨论,请进入GBUNIX论坛:
http://www.gbunix.com/bbs/index.php |