iptables messing up Tomcat?

0

ฉันพบปัญหาต่อไปนี้โดยใช้ Tomcat 7 กับ iptables

1) คือมีอินสแตนซ์ Tomcat 7 ที่ฉันเรียกใช้บนเซิร์ฟเวอร์ -1 (เปิดเผยโดยตรง) และอินสแตนซ์ Tomcat นี้เป็นโฮสต์ให้บริการเว็บ REST Tomcat ตัวเองมีการกำหนดค่าด้วย SSL (NIO ไม่ Apr / พื้นเมือง) clientAuth="true"กับ Keystores, certs และทุกอย่างดูเหมือนจะตั้งค่า OK และทำงานได้

บนเซิร์ฟเวอร์นี้ iptables กำลังเปิดใช้งานและอนุญาตการรับส่งข้อมูลทั้งหมดจากเซิร์ฟเวอร์ -2และกฎสุดท้ายในห่วงโซ่ตัวกรอง INPUT คือ:

-A-INPUT -j REJECT - ปฏิเสธด้วย icmp โฮสต์ที่ไม่ได้รับอนุญาต

ตอนนี้จากเซิร์ฟเวอร์ -2ฉันพยายามโทรหาบริการเว็บและฉันล้มเหลวด้วยข้อยกเว้นการเชื่อมต่อ / อ่านหมดเวลา

2) Tomcat จะไม่ปิดการทำงาน - ฉันได้รับข้อความแสดงข้อยกเว้น "ไม่มีเส้นทางสู่โฮสต์" เมื่อพยายามปิดระบบผ่านสคริปต์การปิดระบบ

ทันทีที่กฎล่าสุดที่ระบุไว้ข้างต้นใน iptables บนเซิร์ฟเวอร์ -1ถูกลบออกปัญหาทั้งสองหมดไป ... เซิร์ฟเวอร์ทั้งสองกำลังเรียกใช้ CentOS 6 64

ใครบางคนสามารถส่องแสงนี้

แก้ไข
นี่คือกฎ INPUT ปัจจุบันอื่น ๆ :

// VPN ที่เกี่ยวข้อง
-A-INPUT -s xx.xx.xx.xx -j ACCEPT
-A อินพุต -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-INPUT -i eth0 -p gre -j ACCEPT
-A-INPUT -m state - รัฐที่เกี่ยวข้อง, ก่อตั้ง -j ACCEPT
-A อินพุต -i eth0 -p udp -m udp --dport 1701 -j ACCEPT
-INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A อินพุท -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-INPUT -i eth0 -p tcp -m tcp - dport 443 -j ACCEPT
-INPUT -i อินพุต -43 -m udp --dport 500 -j ยอมรับ
-A-input -i eth0 -p tcp -m tcp --dport 1701 -j ACCEPT
// FreeRadius
-A อินพุต -i eth0 -p tcp -m tcp --dport 1812 -j ยอมรับ
-A-input ethi -p tcp -m tcp --dport 1813 -j ยอมรับ
-A อินพุต -i eth0 -p udp -m udp --dport 1812 -j ยอมรับ
-A-input -i eth0 -p udp -m udp - dport 1813 -j ACCEPT
// Tomcat
-A-input -i eth0 -p tcp -m tcp --dport 4445 -j ACCEPT
-A อินพุต -0 ethc -p tcp -m tcp --dport 8345 -j ACCEPT
-INPUT -i eth0 -p tcp -m tcp -dport 8007 -j ACCEPT
-A อินพุต -i eth0 -p udp -m udp --dport 4445 -j ยอมรับ
-A-INPUT -i eth0 -p udp -m udp --dport 8345 -j ACCEPT
// อนุญาตทั้งหมดจากเซิร์ฟเวอร์ -2-
INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
// ระบบ
-InPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
// ปฏิเสธ
-A-INPUT -j ปฏิเสธ - ด้วย icmp- เจ้าภาพต้องห้าม

linux  http  iptables  ssl  tomcat 
น้อยกว่า
แหล่งที่มา
เราจะต้องเห็นกฎอื่น ๆ เพราะเห็นได้ชัดว่ามีบางสิ่งที่ถูกบล็อกซึ่งไม่ควรเป็น คาดเดา localhost ถูกบล็อกบนเซิร์ฟเวอร์ -1 เนื่องจากจะป้องกันไม่ให้สคริปต์การปิดทำงาน
Mark Thomas
ขอบคุณ Mark ... ใช่ดูเหมือนว่าคุณจะเดาถูกสำหรับ localhost ที่ถูกบล็อก ฉันอัพเดตคำถามด้วยกฎอื่น ๆ
หัก
สิ่งที่เกี่ยวกับกฎการส่งออก? เซิร์ฟเวอร์ -1 อนุญาตให้ส่งข้อมูลไปยังเซิร์ฟเวอร์ -2 หรือไม่
มาร์คโธมัส
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.