最近碰到了一个比较奇怪的数据库连接问题。问题的起因是做一个数据整合的时候,把服务器B的防火墙信息都拷贝到了服务器A,迁移的过程都很顺利,是一套开发测试环境,迁移完成之后,从应用的反馈来说都没有发现问题,过了几天有个开发的同事找到我说,她现在连接数据库的时候总是有超时的错误。之前连接服务器B是没有问题的,想让我帮她看看。
对于这个问题,最直接的思路就是防火墙了,确认客户端IP,端口库,数据库实例名都没有问题,但是她那边的反馈就是怎么都连接不了。而且比较奇怪的是和她一个组的另外一个同事连接就没有问题,所以就想如果跨网段实在访问不了,应该是得找IT的同事来解决了吧,是不是有什么特定的规则限制,最开始也没有怎么上心,但是等她再次找到我时,感觉这个问题确实有些奇怪。
为了进一步验证,我专门抽了一些时间来了解开发同学的这个连接问题,最后为了进一步确认,我们开了远程协助,我可以看到她那边的连接情况。
基本情况如下:
tnsping 显示操作超时
使用telnet连接22号端口,显示连接失败,目前开了22号的端口
使用ping 服务器,显示正常
所以这个问题看起来就比较奇怪,而且有些让人捉摸不透,在服务器端再三确认了防火墙的设置。可以看到防火墙是开通了1521,22和1528的端口的。
# iptables -nvL|grep 10.12.1.12
374 39102 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1528
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 22
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521
但是现在情况是tnsping和telnet都是失败的。
带着一丝尝试,重新赋予了1521端口的权限,再次查看也确认开通了,这个时候继续尝试连接就没有问题了。
# iptables -nvL|grep 10.12.1.12
5 299 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521,1522
374 39102 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1528
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 22
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521
这个问题虽然解决了,但是问题原因还是没有找到,于是今天继续查看。终于在同事的帮助下找到了原因。在/etc/sysconfig/iptables里面的内容和内存中的内容是同步的。得到的文件内容结果有这么一段。
-A INPUT -s 10.10.xx.61/32 -i eth0 -j ACCEPT
-A INPUT -s 10.10.xx.60/32 -i eth0 -j ACCEPT
-A INPUT -s 192.168.xx.232/32 -i eth0 -j ACCEPT
-A INPUT -s 192.168.xx.228/32 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j DROP
-A INPUT -i eth0 -j DROP
-A INPUT -s 10.12.xx.99/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
-A INPUT -s 10.12.1.12/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
-A INPUT -s 10.127.xxx.82/32 -i eth0 -p tcp -m multiport --dports 10050 -j ACCEPT
-A INPUT -s 10.127.xxx.82/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
当然亮点的还是
-A INPUT -s 10.12.1.12/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT 这一行上面的内容
-A INPUT -i eth0 -j DROP 这一行的内容代表的含义是不允许eth0的网卡访问,在防火墙设置里面还是存在这样一种依赖,自上向下,规则越严格,越要放在最上面。
所以之一行之后的连接都被限制了。当然通过iptables -nvL也确实看到后面的哪些IP确实都没有任何的流量。
问题到了这里就很清楚了,当然这也是对防火墙的操作不够规范导致的。可以把防火墙中的内容转化为iptables的命令,避免直接拷贝文件内容这种简单粗暴的方式。
对于这个问题,最直接的思路就是防火墙了,确认客户端IP,端口库,数据库实例名都没有问题,但是她那边的反馈就是怎么都连接不了。而且比较奇怪的是和她一个组的另外一个同事连接就没有问题,所以就想如果跨网段实在访问不了,应该是得找IT的同事来解决了吧,是不是有什么特定的规则限制,最开始也没有怎么上心,但是等她再次找到我时,感觉这个问题确实有些奇怪。
为了进一步验证,我专门抽了一些时间来了解开发同学的这个连接问题,最后为了进一步确认,我们开了远程协助,我可以看到她那边的连接情况。
基本情况如下:
tnsping 显示操作超时
使用telnet连接22号端口,显示连接失败,目前开了22号的端口
使用ping 服务器,显示正常
所以这个问题看起来就比较奇怪,而且有些让人捉摸不透,在服务器端再三确认了防火墙的设置。可以看到防火墙是开通了1521,22和1528的端口的。
# iptables -nvL|grep 10.12.1.12
374 39102 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1528
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 22
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521
但是现在情况是tnsping和telnet都是失败的。
带着一丝尝试,重新赋予了1521端口的权限,再次查看也确认开通了,这个时候继续尝试连接就没有问题了。
# iptables -nvL|grep 10.12.1.12
5 299 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521,1522
374 39102 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1528
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 22
0 0 ACCEPT tcp -- eth0 * 10.12.1.12 0.0.0.0/0 multiport dports 1521
这个问题虽然解决了,但是问题原因还是没有找到,于是今天继续查看。终于在同事的帮助下找到了原因。在/etc/sysconfig/iptables里面的内容和内存中的内容是同步的。得到的文件内容结果有这么一段。
-A INPUT -s 10.10.xx.61/32 -i eth0 -j ACCEPT
-A INPUT -s 10.10.xx.60/32 -i eth0 -j ACCEPT
-A INPUT -s 192.168.xx.232/32 -i eth0 -j ACCEPT
-A INPUT -s 192.168.xx.228/32 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j DROP
-A INPUT -i eth0 -j DROP
-A INPUT -s 10.12.xx.99/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
-A INPUT -s 10.12.1.12/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
-A INPUT -s 10.127.xxx.82/32 -i eth0 -p tcp -m multiport --dports 10050 -j ACCEPT
-A INPUT -s 10.127.xxx.82/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT
当然亮点的还是
-A INPUT -s 10.12.1.12/32 -i eth0 -p tcp -m multiport --dports 1521 -j ACCEPT 这一行上面的内容
-A INPUT -i eth0 -j DROP 这一行的内容代表的含义是不允许eth0的网卡访问,在防火墙设置里面还是存在这样一种依赖,自上向下,规则越严格,越要放在最上面。
所以之一行之后的连接都被限制了。当然通过iptables -nvL也确实看到后面的哪些IP确实都没有任何的流量。
问题到了这里就很清楚了,当然这也是对防火墙的操作不够规范导致的。可以把防火墙中的内容转化为iptables的命令,避免直接拷贝文件内容这种简单粗暴的方式。
