ฉันพบปัญหาต่อไปนี้โดยใช้ Tomcat 7 กับ iptables
1) คือมีอินสแตนซ์ Tomcat 7 ที่ฉันเรียกใช้บนเซิร์ฟเวอร์ -1 (เปิดเผยโดยตรง) และอินสแตนซ์ Tomcat นี้เป็นโฮสต์ให้บริการเว็บ REST Tomcat ตัวเองมีการกำหนดค่าด้วย SSL (NIO ไม่ Apr / พื้นเมือง) clientAuth="true"
กับ Keystores, certs และทุกอย่างดูเหมือนจะตั้งค่า OK และทำงานได้
บนเซิร์ฟเวอร์นี้ iptables กำลังเปิดใช้งานและอนุญาตการรับส่งข้อมูลทั้งหมดจากเซิร์ฟเวอร์ -2และกฎสุดท้ายในห่วงโซ่ตัวกรอง INPUT คือ:
-A-INPUT -j REJECT - ปฏิเสธด้วย icmp โฮสต์ที่ไม่ได้รับอนุญาต
ตอนนี้จากเซิร์ฟเวอร์ -2ฉันพยายามโทรหาบริการเว็บและฉันล้มเหลวด้วยข้อยกเว้นการเชื่อมต่อ / อ่านหมดเวลา
2) Tomcat จะไม่ปิดการทำงาน - ฉันได้รับข้อความแสดงข้อยกเว้น "ไม่มีเส้นทางสู่โฮสต์" เมื่อพยายามปิดระบบผ่านสคริปต์การปิดระบบ
ทันทีที่กฎล่าสุดที่ระบุไว้ข้างต้นใน iptables บนเซิร์ฟเวอร์ -1ถูกลบออกปัญหาทั้งสองหมดไป ... เซิร์ฟเวอร์ทั้งสองกำลังเรียกใช้ CentOS 6 64
ใครบางคนสามารถส่องแสงนี้
แก้ไข
นี่คือกฎ INPUT ปัจจุบันอื่น ๆ :
// VPN ที่เกี่ยวข้อง
-A-INPUT -s xx.xx.xx.xx -j ACCEPT
-A อินพุต -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-INPUT -i eth0 -p gre -j ACCEPT
-A-INPUT -m state - รัฐที่เกี่ยวข้อง, ก่อตั้ง -j ACCEPT
-A อินพุต -i eth0 -p udp -m udp --dport 1701 -j ACCEPT
-INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A อินพุท -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-INPUT -i eth0 -p tcp -m tcp - dport 443 -j ACCEPT
-INPUT -i อินพุต -43 -m udp --dport 500 -j ยอมรับ
-A-input -i eth0 -p tcp -m tcp --dport 1701 -j ACCEPT
// FreeRadius
-A อินพุต -i eth0 -p tcp -m tcp --dport 1812 -j ยอมรับ
-A-input ethi -p tcp -m tcp --dport 1813 -j ยอมรับ
-A อินพุต -i eth0 -p udp -m udp --dport 1812 -j ยอมรับ
-A-input -i eth0 -p udp -m udp - dport 1813 -j ACCEPT
// Tomcat
-A-input -i eth0 -p tcp -m tcp --dport 4445 -j ACCEPT
-A อินพุต -0 ethc -p tcp -m tcp --dport 8345 -j ACCEPT
-INPUT -i eth0 -p tcp -m tcp -dport 8007 -j ACCEPT
-A อินพุต -i eth0 -p udp -m udp --dport 4445 -j ยอมรับ
-A-INPUT -i eth0 -p udp -m udp --dport 8345 -j ACCEPT
// อนุญาตทั้งหมดจากเซิร์ฟเวอร์ -2-
INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
// ระบบ
-InPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
// ปฏิเสธ
-A-INPUT -j ปฏิเสธ - ด้วย icmp- เจ้าภาพต้องห้าม