Configurei uma regra proxypass para redirecionar solicitações da porta 443 para um servidor JBoss em execução na porta 8080.
Tudo funciona bem, exceto alguns 503 erros no log do Apache, cerca de 10 por dia:
No log de erros:
[error] (111)Connection refused: proxy: HTTP: attempt to connect to 127.0.0.1:8080 (127.0.0.1) failed
No log de acesso, tenho um erro 503 correspondente. Nada no meu log do JBoss.
Para cada erro, coincida um pacote sinalizado como inválido no log do kernel. Eu executei um tcpdump e para cada pacote inválido, era um tcp SYN do proxy para o servidor JBoss.
Por que esses pacotes são marcados como inválidos? Isso é um problema sério? Posso aceitar todos os pacotes inválidos de 127.0.0.1 para dport 8080?
O problema agora está resolvido e estava relacionado ao iptables.
Não sei porque, alguns pacotes são sinalizados como INVALID (1/1000) quando você usa esse tipo de regra:
iptables -A INPUT -m state --state INVALID -j REJECT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j REJECT --reject-with tcp-reset
Como solução, aceito todos os pacotes (mesmo inválidos) de 127.0.0.1 de / para a porta 8080.
Uma mensagem foi enviada para a lista de discussão do iptables.