こちらは年始に相談を受けた件ですが、「宛先NAT(実際にはポートフォワーディング)する間きょうで、Webサーバは問題ないけどOracleサーバに接続できない」という問い合わせを受けました。ひとまず、NATするネットワーク機器のコンフィグを確認してほしいそうです。
コンフィグを見ましたが、フォワーディングする、というだけであれば特に問題はなさそうでした。だとすると、「Oracleで使うTCP1521だけをフォワーディングすればうまくいく」という前提が間違っている、と考えるのが普通でしょう。
ん?まてよ・・・Oracleって確か、サーバで設定しておかないとポートが動的にかわっちゃう場合もあったような・・・。ポートが動的にかわる、ということは、
・「指定したポート以外は通さない」という動きをするファイアウォールでも通信を止められてしまう可能性がある
・ポートフォワーディング(Destination NAT)をするようなものであれば基本的には起こりうるので、ルータだけでなくアプリケーションスイッチ(ロードバランサ)のようなものでも発生する
ってことですよね・・・。その端末への通信すべてを許可するファイアウォールだったり、特定のポートだけでなくすべてのポートをフォワーディングする(要はOne-To-OneのNATをする)ルータ等のNAT箱であれば問題ないけど、ポートを絞るんであれば止められますよね。
確かけっこうこの手の情報はあるはず・・・そう思ってみてみると、いくつか有益な情報がありました。
http://takaq1.plala.jp/contents/windows/oracle_fw/index.html
http://kozhouse.homeip.net/TIPS/firewall/
http://www.oracle.co.jp/forum/thread.jspa?messageID=27001429
そっか、Windowsだとレジストリいじるんでしたね・・・。
このときぢろーらもはサーバやアプリのほうは手が出せなかった(別の業者さんの範疇)ので、「ネットワーク機器の設定には問題ない。Oracleに関しては少しネット調べてみると動的にポートをかえるような情報もいくつか見つかったので調べてみてほしい」という旨を回答して、ひとまず対応は終わりました。実際の業務ですんで、「こんな例がありますよ」ということで個人のページとかをそのままリンクしてしまうのもどうか思うので、具体的な説明があるリンクなどは張れませんでしたが。
割と単純な話かもしれませんが、必要なポートが開いていない、必要なポートがポートフォワーディングの対象になっていない、ということは実務を経験していると割と多くあります。まあ、通すポートが1つとか少ないんであればいいんですけど、たとえばWindowsのActive Directory環境などのように「社内用途で使う。しかも、使用するTCP/UDPポートが多岐に渡る」というときは、1つ1つどのポートを使うか調べて細かくフィルタリングするよりも、たとえば「社内端末からドメインコントローラへの通信はすべて許可」とかのほうが管理面を考えて適切、ということもあるかと思います。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
※コメント投稿者のブログIDはブログ作成者のみに通知されます