问题
我在服务器上有两个 Redis 实例,服务端口号分别是 6379 和 6380,Redis 服务器地址假设为 10.0.0.12。其中 6379 这个实例不需要密码即可访问,6380 需要密码访问。
在正常使用几天后,本机突然无法访问 6379 这个实例,telnet 无法访问到端口。但是远程服务器 10.0.0.13 可以访问 Redis 服务器的 6379 实例。
查找原因
想了所有的可能以后,隐约觉得问题可能在防火墙上,之前从没关心过防火墙设置,确实也没动过这里,但还是要看一看。
先看一下防火墙设置的规则,在 10.0.0.12 Redis 所在的服务器上执行:
iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.0.0.13 0.0.0.0/0 tcp dpt:6379
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6379
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:60115
有问题了,这里第一条规则,确保了 10.0.0.13 可以访问 Redis 6379 端口。解释了为什么远程服务器可以访问 6379 Redis 实例。
第二条规则有点不一样,DROP 是什么意思呢?查了一下文档:DROP 丢弃数据包不予处理。丢弃的是所有的数据包哦,所以,从 10.0.0.13 以外所有的服务器访问 6379 都是不通的。
解决方法
既然找到了问题,那就把这条防火墙规则删除看看。
上面我们看到防火墙设置了 3 条规则,其中第 2 条是需要删除的,删除的命令是:
iptables -D INPUT 2
执行完以后,再看一下规则。
iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.0.0.13 0.0.0.0/0 tcp dpt:6379
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:60115
Drop 那条已经被删除了。
再访问 Redis 6379 端口就没有问题了。
最后我的疑惑是:这条防火墙规则到底是谁设置的?