ポート50000のホストにTelnetで接続しようとしましたが、このホストがDB2インスタンス(db2inst1)でリッスンしていることが確認されました。
telnet [host] 50000
telnet [ip_adress] 50000
しかし、エラーが発生します。接続がタイムアウトしました。
/etc/sysconfig/iptablesファイルを確認し、ポート50000のファイアウォールルールが正しく設定されました(保存され、iptablesサービスが再起動されました)。
-A INPUT -p tcp -m tcp --dport 50000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 50000 -j ACCEPT
ただし、そのポートにTelnetを接続することはできません。サービスを無効にしましたが、iptables接続が可能になりました。これはファイアウォールルールに問題があることを意味します。
ベストアンサー1
ファイアウォールルールが機能しない問題は、コンピュータがデータベースサーバーの観点からデータベースサーバーに接続されているときに実際に宛先ポートですが、データベースサーバーの観点から見ると、パケットがデータベースサーバーを離れるときです。データベースサービス/受信ポートはソースポートです。
したがって、ルールへの直接的な変更は次のようにする必要があります。
-A INPUT -p tcp -m tcp --dport 50000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 50000 -j ACCEPT
また、複数のデーモンで localhost 接続が必要な場合が多いことに注意してください。ルールの上部でこれを行うことができます。
-A INPUT -i lo -j ACCEPT
-A OUTPUT -i lo -j ACCEPT
セキュリティ要件とルールの数に基づいて、次の点を見てみましょう。ESTABLISHED および RELATED ディレクティブ。ステートフルファイアウォール認識ルールを使用してルールを簡素化できます。
ESTABLISHED は、パケットが双方向でパケットを見た接続に関連付けられていることを意味し、NEW は、パケットが新しい接続を開始したか、または双方向でパケットを見なかった接続に関連付けられていることを意味し、RELATED は data パッケージが新しい接続を起動しますが、FTPデータ転送やICMPエラーなどの既存の接続に関連付けられています。