iptables bagunçando o Tomcat?

0

Encontrei o (s) seguinte (s) problema (s) usando o Tomcat 7 com o iptables ativado.

1) Ou seja, há essa instância do Tomcat 7 que executo no server-1 (diretamente exposto), e essa instância do Tomcat hospeda um serviço da Web REST. O próprio Tomcat é configurado com SSL (NIO, não APR / nativo), com clientAuth="true" . Keystores, certs e tudo parece estar configurado OK e funcionando.

Neste servidor, o iptables está ativo e em execução, permitindo todo o tráfego de server-2 , e a última regra na cadeia INPUT do filtro é:

-A INPUT -j REJECT --reject-with icmp-host-prohibited

Agora, em server-2 , tento chamar o serviço da web e falho com exceções de tempo limite de conexão / leitura.

2) O Tomcat não será desligado - recebo a mensagem de exceção "Não há rota para hospedar" ao tentar desligá-lo por meio de seu script de desligamento.

Assim que a última regra especificada acima no iptables no server-1 for removida, ambos os problemas desaparecem ... Ambos os servidores estão executando o CentOS 6 64.

Alguém pode esclarecer isso?

EDITAR
Aqui estão todas as outras regras atuais do INPUT:

// VPN Related
-A INPUT -s xx.xx.xx.xx -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1701 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1701 -j ACCEPT
// FreeRadius
-A INPUT -i eth0 -p tcp -m tcp --dport 1812 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1813 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1812 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1813 -j ACCEPT
// Tomcat
-A INPUT -i eth0 -p tcp -m tcp --dport 4445 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8345 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8007 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4445 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 8345 -j ACCEPT
// Allow all from server-2
-A INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
// System
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
// Reject
-A INPUT -j REJECT --reject-with icmp-host-prohibited

    
por Less 20.11.2013 / 17:12

0 respostas