Я столкнулся со следующими проблемами при использовании Tomcat 7 с включенным iptables.
1) А именно, есть этот экземпляр Tomcat 7, который я запускаю на сервере-1 (напрямую), и этот экземпляр Tomcat содержит веб-службу REST. Сам Tomcat настроен с использованием SSL (NIO, а не APR/native) с clientAuth="true" . Keystores, certs, и все, кажется, настроены хорошо и работают.
На этом сервере iptables работает и разрешает весь трафик с сервера-2, и последнее правило в цепочке INPUT фильтра:
-A INPUT -j REJECT --reject-with icmp-host-запрещено
Теперь, с сервера-2, я пытаюсь вызвать веб-сервис, и у меня происходит сбой с исключениями тайм-аута соединения / чтения.
2) Tomcat не закрывается - я получаю сообщение об исключении "No route to host" при попытке выключить его с помощью скрипта завершения работы.
Как только последнее правило, указанное выше в iptables на сервере-1, будет удалено, обе проблемы исчезнут ... Оба сервера работают под управлением CentOS 6 64.
Может кто-то пролить свет на это?
РЕДАКТИРОВАТЬ
Вот все другие текущие правила INPUT:
// Связанный с VPN
-A ВВОД -s xx.xx.xx.xx -j ПРИНЯТЬ
-A ВВОД -i eth0 -p tcp -m tcp --dport 1723 -j ПРИНЯТЬ
-A ВВОД -i eth0 -p gre -j ПРИНЯТЬ
-A ВХОД -m состояние - СОСТОЯНИЕ СВЯЗАННЫЕ, УСТАНОВЛЕННЫЕ -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 1701 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 4500 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 443 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p tcp -m tcp --dport 443 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 500 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p tcp -m tcp --dport 1701 -j ПРИНЯТЬ
// FreeRadius
-A ВВОД -i eth0 -p tcp -m tcp --dport 1812 -j ПРИНЯТЬ
-A ВВОД -i eth0 -p tcp -m tcp --dport 1813 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 1812 -j ПРИНЯТЬ
-A ВВОД -i eth0 -p udp -m udp --dport 1813 -j ПРИНЯТЬ
// Кот
-A ВХОД -i eth0 -p tcp -m tcp --dport 4445 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p tcp -m tcp --dport 8345 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p tcp -m tcp --dport 8007 -j ПРИНЯТЬ
-A ВВОД -i eth0 -p udp -m udp --dport 4445 -j ПРИНЯТЬ
-A ВХОД -i eth0 -p udp -m udp --dport 8345 -j ПРИНЯТЬ
// Разрешить все с сервера-2
-A ВВОД -i eth0 -s xx.xx.xx.xx -j ПРИНЯТЬ
// Система
-A ВХОД -i eth0 -p tcp -m tcp --dport 22 -j ПРИНЯТЬ
// Отклонить
-A INPUT -j REJECT --reject-with icmp-host-запрещено