O redirecionamento de porta 443 para 8443 não funciona para minha instância do Tomcat

Question 1

O que você realmente precisa aqui é de um proxy reverso (como o Nginx) que possa fazer a terminação SSL para você na porta 443 e depois passar a solicitação ao Tomcat na porta 8443.

SSL/TLS é complexo e, na minha opinião, confiar no IPTABLES para lidar com o handshake SSL e enviar sua solicitação ao aplicativo Tomcat não é uma boa ideia.

Se você realmente precisa usar IPTABLES, conecte-se ao serviço openssle descubra exatamente o que está acontecendo. Relate a saída aqui e mais ajuda poderá estar disponível.

openssl s_client -connect www.example.com:443

O problema também pode ser que você esteja usando a nattabela. Meu entendimento é que as regras para esta tabela só serão aplicadas se as solicitações estiverem sendo roteadasatravéso servidor, em vez de ser roteado para uma porta diferente no mesmo endereço IP.

Um proxy reverso removeria grande parte dessa complexidade e forneceria muito mais funcionalidades (por exemplo, limitação de taxa, controle de acesso, etc.) para inicializar.

Answer

O que você realmente precisa aqui é de um proxy reverso (como o Nginx) que possa fazer a terminação SSL para você na porta 443 e depois passar a solicitação ao Tomcat na porta 8443.

SSL/TLS é complexo e, na minha opinião, confiar no IPTABLES para lidar com o handshake SSL e enviar sua solicitação ao aplicativo Tomcat não é uma boa ideia.

Se você realmente precisa usar IPTABLES, conecte-se ao serviço openssle descubra exatamente o que está acontecendo. Relate a saída aqui e mais ajuda poderá estar disponível.

openssl s_client -connect www.example.com:443

O problema também pode ser que você esteja usando a nattabela. Meu entendimento é que as regras para esta tabela só serão aplicadas se as solicitações estiverem sendo roteadasatravéso servidor, em vez de ser roteado para uma porta diferente no mesmo endereço IP.

Um proxy reverso removeria grande parte dessa complexidade e forneceria muito mais funcionalidades (por exemplo, limitação de taxa, controle de acesso, etc.) para inicializar.

Question 2

Isso pode depender de qual interface o seu Tomcat está vinculado. Se estiver vinculado à interface de loopback, isso não funcionará.

Principalmente o alvo REDIRECT é usado com uma interface especificada como:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 8443

(substitua eth1 pela interface de rede real em que o Tomcat está sendo executado)

REDIRECT é um método conveniente para o alvo DNAT, portanto, se o procedimento acima não funcionar, você pode tentar algo como:

iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.0.1:8443

(substitua 10.0.0.1 pelo endereço IP da sua máquina)

Answer

Isso pode depender de qual interface o seu Tomcat está vinculado. Se estiver vinculado à interface de loopback, isso não funcionará.

Principalmente o alvo REDIRECT é usado com uma interface especificada como:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 8443

(substitua eth1 pela interface de rede real em que o Tomcat está sendo executado)

REDIRECT é um método conveniente para o alvo DNAT, portanto, se o procedimento acima não funcionar, você pode tentar algo como:

iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.0.1:8443

(substitua 10.0.0.1 pelo endereço IP da sua máquina)

O redirecionamento de porta 443 para 8443 não funciona para minha instância do Tomcat

Responder1

Responder2

informação relacionada