ipfw 桥接防火墙 oracle断接的问题

flgfy

ipfw 桥接防火墙工作正常， fxp0 　接客户机　　fxp1　接oracle 服务器  端口利用在oracle 服务器 已配好，下面是两条主要的防火，开放1521口

ipfw add 19008 allow tcp from any to any 　 1521  in  via   fxp0  setup keep-state

ipfw add 19009 allow all from any  to any    in  via fxp1  setup keep-state

问题：正常连接时，可以工作，但由于通信量不大，比如过1个小时不通信　racle客户机　到　oracle 服务器  断接　要重新连接
求教高手怎么做到不断接

lsstarboy

去掉setup keep-state试试

再加上两句：

ipfw add 19010 allow ip from any to any out via fxp0
ipfw add 19011 allow ip from any to any out via fxp1

flgfy

回复 2# lsstarboy


    谢谢
去掉setup keep-state试试

再加上两句：

ipfw add 19010 allow ip from any to any out via fxp0
ipfw add 19011 allow ip from any to any out via fxp1

以后，在log里出现　　deny tcp  from  192.168.0.100:3658   to  192.168.0.1 :1521  out via bridge0
连接不上了
192.168.0.1：1521　oracle 服务器

lsstarboy

晕！楼主做的网桥啊！

网桥还需要把网卡设置为桥！

ipfw add 19012 allow ip from any to any via bridge0

flgfy

回复 4# lsstarboy


    这一条语句我实在不能理解，在网桥成员也就是网卡上做防火设置就可以，还需要要网桥做防火设置吗

lsstarboy

网桥是一个由两个网卡共同组成的网络界面，你不允许通过的话，两个网卡之间仍然不能通讯。

就相当于夫妻二人，两个人都在北京工作，但是家庭户口在农村，孩子仍然不是北京人。

flgfy

回复 6# lsstarboy


    谢谢你的解释，感觉现在的孩子真是可怜。
　
　　最初的防火墙配置

　　　ipfw add 19997 check-state

　　　ipfw add 19008 allow tcp from any to 192.168.10.2：1521  in  via fxp0 setup keep-state

　　　ipfw add 19009 allow all from any  to any  in  via fxp1 setup keep-state

　　　ipfw add 30000 deny log all from any to any

　　　通断：能通　　
　　　问题：只能通一会，就断开了
　　　分析： setup keep-state　
　　　＃根据动态规则表检查数据包。 如果匹配， 则执行规则所指定的动作， 亦即生成动态规则；否则， 转移到下一个规则。
　　　按我的理解，比如　192.168.010.208：1130　访问过　192.168.10.2：1521 后，就形成一个成动态规则，并形成一个双向的通道，并在一定的时间内保持这个通道，下次192.168.010.208：1130再访问192.168.10.2：1521就直接走这个通道就可以了。
　　　用ipfw show显示
　　　只在19008　上有数据包通过
　　　动态规则生存时间为300s
    190008  4  240 (300s) STATE tcp 192.168.10.208　1130 <-> 192.168.10.2　1521
   　如果192.168.010.208：1130在生存时间为300s内不访问192.168.10.2：1521这条动态规则就撤销了。客户端到数据库访问就断开了。
　　keep-state只适用于对Web应用这种无状态的连接，时间短，连接数多，效率高，不适用于数据库类的长连接。

　　现在在你的指导下，主要是用以下以后语句：

　　ipfw add 19008 allow tcp from any to 192.168.10.2：1521  in  via fxp0

　　ipfw add 19009 allow all from any  to any  in  via fxp1

　　ipfw add 19010 allow ip from any to any out via fxp0
　　ipfw add 19011 allow ip from any to any out via fxp1
　　ipfw add 20000 allow ip from any to any out via bridge0
　　中午运行差不多两个多少时正常，
　　但还有二个问题：
　　　一）这里的连接超时是什么参数控制的，应该怎么设置？
　　　二）既有长连接，又有短连接，该怎么办？
　　　能具体指导一下吗

lsstarboy

　一）这里的连接超时是什么参数控制的，应该怎么设置？
　　　二）既有长连接，又有短连接，该怎么办？

一）sysctl -a | grep fw
二）不用keep-state