Oracle RAC如何配置防火墙策略？开放RAC所需通信端口

首页

数据库

热心网友

转载

2026-04-28

Oracle RAC防火墙配置：避开那些让你心跳停止的“坑”

给Oracle RAC配置防火墙，可不是只开个1521端口那么简单。firewalld的默认规则会悄无声息地阻断HAIP（169.254.x.x）、私网UDP以及动态端口等关键流量，结果就是集群心跳直接“停摆”，或者实例死活起不来。

Oracle RAC如何配置防火墙策略？开放RAC所需通信端口

配置白名单时，这三类地址一个都不能少

Oracle RAC集群的运行依赖于三个网络平面的通信，防火墙策略必须明确放行对应的源地址。否则，你很可能在crsctl check cluster时看到“CRS-4639: Could not contact Oracle High A vailability Services”的报错，或者节点被反复踢出集群。

所有PUBLIC IP（包括VIP和SCAN IP）：例如172.16.100.19、172.16.100.119、172.16.100.100。
所有PRIVATE IP（私网地址）：例如100.100.100.19、100.100.100.30。这里要特别注意，指的是ip a命令实际看到的地址，而不是网卡名称。
HAIP地址段：169.254.0.0/16（11.2.0.2及以上版本强制使用）。切记不能只写单个HAIP地址，必须使用CIDR格式的网段。

常见的错误做法是一条条添加单个IP的富规则，这样很容易遗漏。哪怕只漏掉一个HAIP，都可能触发OCR同步失败。正确的思路是优先放行整个网段，再根据需要补充具体的VIP或SCAN IP：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.16.100.0/24" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="100.100.100.0/24" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="169.254.0.0/16" accept'

UDP和高范围端口必须明确放行，TCP 1521远远不够

RAC的私网通信大量依赖UDP协议（比如GCS、GES消息），而且Oracle的后台进程（如PMON、LMD）会使用临时端口主动发起连接。如果只开放1521/tcp，会导致节点间资源争用超时，进而引发“gc cr block busy”等一系列等待事件飙升。

私网必须同时放开TCP和UDP的全端口：即port protocol="tcp" port="1-65535" 和 port protocol="udp" port="1-65535"。
公网访问数据库虽然只需开1521/tcp，但客户端连接后，监听器可能会重定向到随机端口（尤其在非共享服务器模式下）。因此，对业务网段也建议放开9000-65500的TCP和UDP端口。
临时端口范围需与系统保持一致：检查cat /proc/sys/net/ipv4/ip_local_port_range的输出。如果系统范围是9000 65500，那么firewalld规则里写1024-65535就多此一举了，无谓地开放低端口只会增加安全风险。

针对私网段的配置示例如下：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="100.100.100.0/24" port protocol="tcp" port="1-65535" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="100.100.100.0/24" port protocol="udp" port="1-65535" accept'

小心！移除SSH服务可能导致管理连接中断

执行firewall-cmd --permanent --remove-service=ssh后，如果不进行reload，当前的SSH连接确实还能用。但一旦执行reload或重启firewalld服务，所有未显式放行的22/tcp流量都会被拒绝——这包括你正在使用的堡垒机跳转链路。

不要删除默认的ssh服务。更稳妥的做法是使用富规则，显式放行可信的管理网段。例如：firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.2.30.0/24" port protocol="tcp" port="22" accept'。
如果已经误删并导致失联，需要物理或通过带外管理登录，执行systemctl stop firewalld临时恢复访问，再补上正确的规则。
使用firewall-cmd --list-all检查时，必须确保在sources:部分能看到你的管理IP段，而不能仅仅依赖services:里的ssh条目。

重载规则前，务必检查顺序与冲突

firewalld是按照富规则的插入顺序进行匹配的，先插入的规则优先级更高。如果你先添加了一条source address="0.0.0.0/0" port="1521" accept的规则，之后再添加针对VIP的白名单，后者实际上是不会生效的。

使用firewall-cmd --permanent --list-rich-rules查看所有现有规则，确认VIP、私网、HAIP相关的规则排在前面。
避免混合使用--add-port和--add-rich-rule命令：前者生成的是区域级（zone-level）规则，后者是源级（source-level）规则，两者优先级不同，容易互相覆盖。
执行firewall-cmd --reload后，应立即进行验证：运行crsctl check cluster -all、oifcfg getif，并从另一个节点ping -c2 169.254.x.x（测试HAIP连通性）。

最容易忽略的一点是HAIP的ICMP通路。很多环境只开了TCP和UDP，但集群健康检查会发送ICMP echo请求。如果没放行ICMP，表现出来的症状就是“节点看似在线，却无法加入集群”。

来源:https://www.php.cn/faq/2378051.html

免责声明：游乐网为非赢利性网站，所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系youleyoucom@outlook.com。

上一篇：.NET应用连接Oracle时区不一致怎么办_设置会话时区下一篇：mysql如何优化大表Alter Table添加索引速度_调整排序缓冲区大小

相关攻略

系统平台

Linux防火墙配置指南：使用IPSet与GeoIP精准拦截海外流量

在服务器安全防护领域，拦截海外访问流量是一项广泛采用且效果显著的策略。然而，如何实现高效、稳定且易于维护的拦截方案，其中包含诸多技术细节与最佳实践。直接给出核心结论：兼顾稳定性、性能与可维护性的最优方案，是结合使用 ipset 与 iptables。至于另一种方案——编译内核模块 xt_geoip

热心网友

05.20

系统平台

银河麒麟系统开启SSH服务与远程连接配置教程

许多用户在银河麒麟V10桌面操作系统上完成环境部署后，常会遇到一个典型问题：如何从其他计算机远程连接至该系统？尽管系统运行正常，但使用SSH客户端连接时却频繁出现超时或拒绝访问的错误。这通常是由于几个关键配置环节未就绪所致——可能是SSH服务未安装、防火墙规则限制，或是身份验证设置未正确开启。无需

热心网友

05.17

系统平台

Linux防火墙iptables配置规则详解与高级设置教程

iptables规则配置后不生效，最常见的原因是规则顺序错误：使用-A INPUT将规则追加到链尾时，若链中存在DROP规则或默认策略为DROP，新规则将无法被匹配；应改用-I INPUT 1优先插入规则。同时需注意，filter表不处理地址转换，DNAT SNAT操作必须使用-t nat指定nat

热心网友

05.17

系统平台

Linux防火墙关闭与特定端口开放配置指南

在Linux系统中配置防火墙与开放端口，许多用户误以为只需简单“开启”或“关闭”即可。然而实际运维中，即便停用了firewalld或ufw服务，应用程序仍可能无法被外部访问。这通常源于服务监听配置、云平台安全组策略或SELinux安全机制等多层因素。因此，正确的操作流程是：首先根据您的Linux发行

热心网友

05.17

AI资讯

Ollama本地部署与Cursor编辑器连接配置指南

在 Cursor 编辑器中集成本地大模型进行代码编写，能显著提升开发效率。然而，许多用户在配置 Ollama 后，常遇到 Cursor 无法连接的问题，提示连接失败或模型无响应。这通常并非模型本身的问题，而是 Cursor 未能正确识别到本地运行的 Ollama 服务。本文将提供一套完整的排查与解决

热心网友

05.17