01概述

本文將給大家介紹如何限制某個ip或某個ip段才能訪問Oracle數據庫

通過sqlnet.ora

通過/etc/hosts.deny和/etc/hosts.allow

通過iptables

02正式實驗

本次實驗環境是Centos6.10 + Oracle 11.2.0.4單實例，數據庫服務器ip地址為192.168.31.71

1. 通過sqlnet.ora

a. 關閉數據庫服務器上的防火墻，修改sqlnet.ora文件該文件放在$ORACLE_HOME/network/admin下，如果沒有就在該目錄下創建一個即可添加以下兩行

tcp.validnode_checking = yes

tcp.invited_nodes = （192.168.31.71， 192.168.31.77）

這里需要注意的是必須把本機ip地址加進來（不能寫成localhost和127.0.0.1），否則監聽啟動會報錯。

b. 重啟監聽，讓sqlnet.ora的修改生效

lsnrctl stop

lsnrctl start

設置之后就只有這兩個ip地址192.168.31.71， 192.168.31.77能訪問數據庫，其它ip地址訪問會報ORA-12547： TNS:lost contact錯誤

tcp.invited_nodes的意思是開通白名單，不在白名單中的一律拒絕訪問，它也可以寫成（192.168.31.*， 192.168.31.0/24）等方式，表明這個網段都能訪問。

另外還有個參數tcp.excluded_nodes，表示黑名單，這里不做介紹，有興趣的可以自己去做做實驗。

2. 通過/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora屬于數據庫層面的限制，但如果一個ip能夠使用root或者oracle，ssh到這臺數據庫服務器的話，那么它依然能夠訪問數據庫。為了避免這種情況，這時就需要通過/etc/hosts.allow和/etc/hosts.deny去限制某個ip或者ip段才能ssh訪問數據庫服務器先刪除前面實驗添加的sqlnet.ora，然后重啟監聽

lsnrctl stop

lsnrctl start

a. 修改/etc/hosts.deny

在文件尾部添加一行

all:all:deny

第一個all表示禁掉所有使用tcp_wrappers庫的服務，舉例來說就是ssh，telnet等服務。

第二個all表示所有網段。

b. 修改/etc/hosts.allow

在前面一步中我禁掉所有的網段，所以在這一步中要開通指定的網段。

修改/etc/hosts.allow，在文件尾部添加

all:192.168.31.71:allow a

ll:192.168.31.47:allow

格式與hosts.deny一樣，第一行表示把本機放開，第二行表示給.47開通白名單

下面用我另外一臺機器（即不在allow中的）ssh或telnet連接71這個機器，就會出現如下報錯

連數據庫卻不受影響，因為數據庫服務不歸hosts.deny和hosts.allow管

其中ip地址也可以換成以下的寫法

通配符的形式 192.168.31.*表示192.168.31這個網段

網段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個網段

3. 通過iptables

sqlnet.ora能夠限制數據庫的訪問，/etc/hosts.deny和/etc/hosts.allow能夠限制ssh的訪問，那有沒有辦法既能限制數據庫的訪問，也能限制ssh的訪問呢，答案就是linux自帶的防火墻功能了。為了實驗，將前面做的修改全部清除。

使用root執行以下命令

service iptables start # 打開防火墻服務iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允許192.168.31網段的ip訪問本機1521端口iptables -I INPUT ！ -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒絕非192.168.31網段的ip訪問本機22端口service iptables save # 規則保存到配置文件/etc/sysconfig/iptables中

這樣就同時限制了其它ip對服務器的ssh和數據庫訪問一些擴展知識：

iptables -L -n --line-numbers # 查看當前系統中的iptablesiptables -D INPUT 2 # 刪除input鏈中編號為2的規則，編號數字可以通過上一個命令得到

03總結

如果只是限制其它ip對數據庫的訪問，使用sqlnet.ora

如果要限制其它ip對數據庫所在服務器上的ssh連接，使用/etc/hosts.deny和/etc/hosts.allow

前面兩個配合起來，基本上就能保證你的數據庫安全了。但是如果你對linux的iptables很熟悉，那么直接使用iptables去限制。

使用/etc/hosts.deny和iptables時一定要保證自己的操作機能連到服務器，不然很容易就把自己鎖死在外面了。
責編AJX