Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
Добрый день.

В связи с миграцией часть БД переехала на новые сервера, часть осталась на прежних, между серверами настроен Firewall.

Ловим ошибки по дблинкам через какое-то непостоянное время, то есть в 90% всё успешно отрабатывет, если долго работает сессия, то обрыв:
ORA-03150: end-of-file on communication channel for database link
ORA-02063: preceding line from DB_NAME

Порт по которому крутится листенер доступ сделан.
В листенер логе запись вида:
11-NOV-2021 10:50:15 * (CONNECT_DATA=(SID=DB_NAME)(CID=(PROGRAM=oracle)(HOST=HOST_NAME)(USER=user_name))) * (ADDRESS=(PROTOCOL=tcp)(HOST=xx.xxx.xxx.xx)(PORT=26264)) * establish * DB_NAME * 0

Не до конца понимаю, что за порт 26264 и надо ли для него дополнительно открывать порт.
11 ноя 21, 13:35    [22394616]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
PuM256
Member

Откуда:
Сообщений: 168
Это исходящий порт на клиенте. Выбирается случайно.
11 ноя 21, 13:37    [22394618]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
PuM256,
Поправлю свой вопрос, надо ли для этого порта дополнительно давать доступ на фаерволе?
11 ноя 21, 13:55    [22394627]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
PuM256
Member

Откуда:
Сообщений: 168
У вас же соединение проходит, значит не надо. Да и что добавлять-то?
11 ноя 21, 14:31    [22394644]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
PuM256,

По какому порту идёт дальнейшее взаимодействие между бд через дблинк
11 ноя 21, 14:44    [22394652]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
PuM256
Member

Откуда:
Сообщений: 168
По порту, который указан в TNS у DB link'а.
11 ноя 21, 15:42    [22394682]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
PuM256,
"Это исходящий порт на клиенте. Выбирается случайно." под клиентом в данном случае понимается БД с которой идёт запрос по дб линку?
Как этот порт вообще задействуется? Информацию в интернете не могу толком найти.
11 ноя 21, 16:08    [22394691]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 54798

alex722
Как этот порт вообще задействуется? Информацию в интернете не могу толком найти.
Это не то, о чём тебе стоило бы беспокоиться:
https://ru.wikipedia.org/wiki/Динамический_порт

Posted via ActualForum NNTP Server 1.5

11 ноя 21, 16:16    [22394696]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Мутаген
Member

Откуда:
Сообщений: 722
alex722
долго работает сессия, то обрыв:
ORA-03150: end-of-file on communication channel for database link
ORA-02063: preceding line from DB_NAME


Дело не в портах. Просто фаервол закрывает у себя сессию когда по ней долго не передаётся никаких данных. Для исправления надо включить в базах (и клиентах) Dead connection detection - они тогда будут эпизодически посылать друг-другу пустые сообщения при больших паузах
11 ноя 21, 16:46    [22394712]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 54798

Или таки отключить таймаут неактивности TCP соединения в файерволле/маршрутизаторе.

Posted via ActualForum NNTP Server 1.5

11 ноя 21, 16:51    [22394717]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
Мутаген,
насколько я понял Dead connection detection наоборот закрывает сессии, которые остались висеть при ненормальном завершении работы со стороны клиента через sqlnet.expire_time.

Мне же надо, чтобы открытое раз соединение продолжало работать и дальше, со стороны клинта(БД) никто его не рвёт, просто долго не обращаются.
11 ноя 21, 17:30    [22394747]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 54798

alex722
насколько я понял Dead connection detection наоборот закрывает сессии, которые
остались висеть при ненормальном завершении работы со стороны клиента

Это да, но механизм его действия таков, что в качестве побочного эффекта он
обламывает работу "Idle TCP Connection Timer" маршрутизаторов и файерволлов.

Posted via ActualForum NNTP Server 1.5

11 ноя 21, 17:35    [22394750]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
Dimitry Sibiryakov,
как сообщают безопы, там параметр вкручен до очень высоких значений, да и в целом обрыв по дблинкам, как я сам провёл тесты, происходит не с постоянным интервалом. а от получаса до 12 часов примерно.

В своих логах они видят лишь динамические порты, вот и думают, стоит ли их прописать на доступ так же, как и внешние.
11 ноя 21, 19:10    [22394793]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 54798

alex722
как сообщают безопы, там параметр вкручен до очень высоких значений, да и в
целом обрыв по дблинкам, как я сам провёл тесты, происходит не с постоянным
интервалом. а от получаса до 12 часов примерно.

Врут. Используй WireShark чтобы точно выявить разрывающий девайс и тыкай им
результатом в нос.
https://portal.nutanix.com/page/documents/kbs/details?targetId=kA00e000000LTA6CAO

Posted via ActualForum NNTP Server 1.5

11 ноя 21, 19:57    [22394808]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
Dimitry Sibiryakov,
так они и не скрывают, что причина в фаерволе, но какой параметр конкретно сессии душит не совсем понятно.

Спасибо за ссылку, тут с админом уже сервера придётся пообщаться, самому вкрутить не получится)
11 ноя 21, 23:27    [22394870]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
alex722
Member

Откуда:
Сообщений: 130
Пропали разрывы по дблинкам, когда безопасность дополнительно открыла порты 9000-65000
24 ноя 21, 15:00    [22400223]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7392
alex722,

В поставке, есть такой продукт Oracle Connection Manager (CMAN)

Он сделан специально, чтобы лазить через vpn и другие кучерявые сети
+ дополнительные возможности по контролю доступа
24 ноя 21, 21:01    [22400410]     Ответить | Цитировать Сообщить модератору
 Re: Listener Port & Firewall  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7392
alex722,

Вот еще хороший документ: Oracle Net Services 12c Best Practices for Database Performance and Scalability
24 ноя 21, 21:02    [22400411]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить