RAC配置iptables防火墙

安装RAC的时候，要求关掉防火墙
安全整改的时候，又要求防火墙开启（或者以黑名单模式配置防火墙，禁掉某些敏感端口）

经测试可以开启iptables防火墙，但是需要使用iptables -F 清理所有的防火墙(默认规则)，RAC在未配置任何防火墙规则的时候正常，些时RAC已经有了可以开启防火墙的基础
如果要开启/禁用某些端口或规则，需要测试

比较防火墙规则的差异

备份RAC不能使用时的防火墙的规则
清理掉所有规则之后，RAC集群可用，重新配置防火墙规则之后，RAC集群可用

# # 防火重启生效 启用防火墙# service iptables restart# #  开启防火墙，清除所有规则# iptables -F# # 查看当前规则# iptables -nL# # 防火墙保留现有规则  把当前规则保存到文件/etc/sysconfig/iptables# service iptables save# # iptables -nL# Chain INPUT (policy ACCEPT)# target     prot opt source               destination         # ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED# ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           # ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           # ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22# REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited# ACCEPT     tcp  --  ip1                  0.0.0.0/0            tcp dpt:22# ACCEPT     tcp  --  ip2                  0.0.0.0/0            tcp dpt:22# ACCEPT     tcp  --  ip3                  0.0.0.0/0            tcp dpt:22# ACCEPT     all  --  127.0.0.1            0.0.0.0/0           # ACCEPT     tcp  --  ip4                  0.0.0.0/0            tcp dpt:22# ACCEPT     tcp  --  ip4                  0.0.0.0/0            tcp dpt:22# ACCEPT     tcp  --  ip4                  0.0.0.0/0            tcp dpt:22# ACCEPT     tcp  --  ip4                  0.0.0.0/0            tcp dpt:8999# DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8999# DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:137# DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:138# DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:139# DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445# DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3389# service iptables status;iptables -nL# service iptables stop# service iptables restart# 开启防火墙之后 集群失败的差异规则配置(4条默认规则会影响RAC)# 比较防火墙规则：开启防火墙之后，RAC不能使用主要是以下4条默认规则：# -A FORWARD -j REJECT --reject-with icmp-host-prohibited# -A INPUT -j REJECT --reject-with icmp-host-prohibited# -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT# -A INPUT -p icmp -j ACCEPT# redhat7 增加以下2个# -A INPUT -i lo -j ACCEPT# -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

配置的脚本 可以直接执行

# 备份当前配置iptables-save > /root/iptables_`date +%Y%m%d%H%M`.txt# 清理当前规则iptables -F# 配置规则(黑名单模式)iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip1/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip2/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip3/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip4/32 -j ACCEPTiptables -A INPUT -s ip5/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip6/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip7/32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s ip8/32 -p tcp --dport 8999 -j ACCEPTiptables -A INPUT -s  0.0.0.0/0 -p tcp --dport 8999 -j DROPiptables -A INPUT -s  0.0.0.0/0 -p udp --dport 137 -j DROPiptables -A INPUT -s  0.0.0.0/0 -p udp --dport 138 -j DROPiptables -A INPUT -s  0.0.0.0/0 -p tcp --dport 139 -j DROPiptables -A INPUT -s  0.0.0.0/0 -p tcp --dport 445 -j DROPiptables -A INPUT -s  0.0.0.0/0 -p tcp --dport 3389 -j DROPiptables -nLservice iptables savesystemctl enable iptablessystemctl restart iptables

编辑：广州明生医药有限公司

标签：防火墙,规则,集群,端口,备份