操做iptables時應特別注意規則的順序

操做iptables時應特別注意規則的順序

2017年03月18日 22:55:40 jiangtongcn 閱讀數：1845更多

我的分類： Oracle操做系統

oracle在centos本機可以正常訪問,關閉防火牆也可以遠程訪問，可是一旦開啓防火牆則不能遠程訪問

嘗試添加規則iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT，可是仍然不能遠程訪問

嘗試vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT，保存返回，而後service iptables restart,仍然不能遠程訪問。

觀察iptables的執行時規則：iptables -L -n,發現以下：

手動添加方形規則在reject-with icmp-host-prohibited,從規則上看，該reject是拒絕全部icmp

iptables執行規則時，是從從規則表中從上至下順序執行的，若是沒遇到匹配的規則，就一條一條往下執行，若是遇到匹配的規則後，那麼就執行本規則，執行後根據本規則的動做(accept, reject, log等)，決定下一步執行的狀況。

那麼1521的請求就頗有可能被此規則匹配了。

 

從新編輯vi /etc/sysconfig/iptables,將本身的規則置於reject規則以前：

保存重啓:service iptables restart

問題解決。