RMIベースのアプリケーションにSSL証明書を追加しましたが、テストサーバーで正常に機能していたため、これを本番サーバーにデプロイした後、すべての要求は本番で行われるローカル接続の場合でもSSLハンドシェイクを待っています。サーバー上のいくつかのiptablesルールが原因で発生します。
デフォルトでは、すべてのポートはブロックされ、必要なポートのみが許可されます。私たちが実装するデフォルトのiptablesルールは次のとおりです/etc/rc.local。
#Flush all
iptables -F
iptables -t nat -F
#Chains
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#Allow local connections
iptables -A INPUT -s localhost -d localhost -j ACCEPT
iptables -A INPUT -s $ip -d $ip -j ACCEPT
#RMI ports (for rmi app)
iptables -A INPUT -p tcp --dport 1826 -j ACCEPT
iptables -A INPUT -p tcp --dport 1827 -j ACCEPT
iptables -A INPUT -p tcp --dport 18026 -j ACCEPT
#allowing RMI socket port range
iptables -A INPUT -p tcp --destination-port 20000:65535 -j ACCEPT
#Allow apache, https, tomcat ports
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Allow pings
iptables -A INPUT -p icmp -j ACCEPT
#Allow DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 953 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 953 -j ACCEPT
私はiptablesルールについてはわかりませんが、SSLハンドシェイク中に一部の要求がDigicertに送信される可能性があるか、許可されていないポートやプロトコル(たとえば)を使用し、不足しているiptablesルールによってこの問題が発生したと思います。待っています。」
すでにこれと同じか類似の問題を経験している人はいますか?
情報
サーバー: CentOS 6.5 x64 by digitalocean.アプリケーション:JVM 1.8、RMI(シンデスクトップクライアント用)、およびTomcat(8080)(Webユーザー用)ベース。 Tomcat接続はローカルrmi接続を使用します。
修正する
次のルールを追加すると機能します。
iptables -A INPUT -s secure.globalsign.com -j ACCEPT
iptables -A INPUT -s ocsp.globalsign.com -j ACCEPT
iptables -A INPUT -s ocsp2.globalsign.com -j ACCEPT
iptables -A INPUT -s crl.globalsign.com -j ACCEPT
ちょうど握手は少し遅かった。