Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3880 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Oracle Net (jdbc in dmz application to inernal db)

Richard_Gunn
I have been unable to get this working despite setting up the packet filture to allow Oracle traffic between the DMZ box and the internal Oracle server (both ways)

How does Astaro handle Oracle's dynamic port allocation when communcating via Net8 ? 

Anyone have a woking configuration they can post ?

thanks

Richard   


This thread was automatically locked due to age.
  • 0
    I have not had experience with that product; look at the log's DROP entries to see what's going on.

    IF they are doing an RPC-like thing (tune into one port to ask for a port to 'talk' on, tune into that other port and continue your network dialog), you've got a problem. Such functionality requires a proxy (UNLESS you want to open up the range of ports that Oracle might use; some people have a problem with that because another comedian on the 'net might 'cut in' on a port intended for you!). Can you have the users of this Oracle service you're providing VPN in?? Well, let's first establish if the service is consistent about it's port allocations.

    P.S. Without a pronouncement from Oracle on the network behavior of this app, you could be in for some problems. I have frequently seen cases (like in RPC) where a particular port range was consistently used, and then one day the machine changes its mind. With an RPC-like port brokering mechanism, that can happen; it's done for reasons of security...

        
  • 0 in reply to SecApp
    Because Oracle runs as a MTS (multi threaded service) prespawned service it uses dymanic ports, so the option seems to be either

    1. open up a ton of of ports on Astaro to allow traffic from the DMZ app to the inertnal oracle server

    OR

    2. DNAT all traffic on port 80 to our DMZ IP address and redirect it straight into an internal machine running the same app. The internal app can then talk Net8 via jdbc to our internal db without passing thru the firewall

    Both seem a less than perfect solution - but I would tend for using DNAT 

    What do you think ?

    thanks for the reply !

    Richard  
  • 0
    I did a little web research about Oracle jdbc and firewalls since I do a lot of Oracle DB work myself. I found an interesting link. Perhaps it could help you more than I can.

    http://www-tcsn.experts-exchange.com/Security/Firewalls/Q_20739363.html

    I also read an article suggesting stunnel to encrypt traffic between your web server and the backend DB. You'd still have to open ports but they could be DMZ IP to Backend IP specific so that they would allow only traffic originating from the DMZ machine to the DB machine.The DB server would only be listening on those ports for SSL traffic anyway.

     
  • 0 in reply to Richard_Gunn
    The second option is definitely cleaner; you will have a much better handle on what's going on, getting things confined to a DMZ; and Jim M. thanks for your sharing your expertise for this fellow...

    So you would have the DB on the DMZ?
  • 0 in reply to SecApp
    No. The DB would be on the internal net, the web app woulod run on a machine in the DMZ with web traffic allowed in from the outside. The article suggest using Oracle Advanced Replication to create a "Proxy DB". The Proxy would then communicate via Replication with the "Real" DB on the inside network as well. The article has a couple of sulutions. Personally I like the
    webserver(2 NICs)->firewall->ProxyDB(2 NICs)->firewall->BackendDB
     with the addition of a Snort machine to sniff traffic at the web-server interfaces.
    My stunnel suggestion was only to secure the traffic between the webserver and the DB.