操做iptables时应特别注意规则的顺序

时间 2019-11-09

原文原文链接

2017年03月18日 22:55:40 jiangtongcn 阅读数：1845更多centos

oracle在centos本机可以正常访问,关闭防火墙也可以远程访问，可是一旦开启防火墙则不能远程访问tcp

尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT，可是仍然不能远程访问spa

尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT，保存返回，而后service iptables restart,仍然不能远程访问。操作系统

观察iptables的执行时规则：iptables -L -n,发现以下：.net

手动添加方形规则在reject-with icmp-host-prohibited,从规则上看，该reject是拒绝全部icmprest

iptables执行规则时，是从从规则表中从上至下顺序执行的，若是没遇到匹配的规则，就一条一条往下执行，若是遇到匹配的规则后，那么就执行本规则，执行后根据本规则的动做(accept, reject, log等)，决定下一步执行的状况。blog

那么1521的请求就颇有可能被此规则匹配了。ip

从新编辑vi /etc/sysconfig/iptables,将本身的规则置于reject规则以前：get

保存重启:service iptables restart

问题解决。