問題タブ [firewall]

Linux ファイアウォールを制御するアプリケーションを作成しています (iptables を使用)。ポートトリガーを実装する必要があります。それに適していると思われる TRIGGER ターゲットがあります。ただし、適切なドキュメントが見つかりません (実際、このターゲットのドキュメントを見つけるのは非常に困難です)。iptables の TRIGGER ターゲットに関する情報にリダイレクトできる人はいますか?

Linux上のJavaアプリケーションサーバーにリクエストをディスパッチするJavaプログラムをWindows（Citrixマシン）で実行しています。このディスパッチングメカニズムはすべてカスタムです。

Windows Javaプログラム（これを呼びましょうW）は、結果を受信するために、OSによって指定されたポート（たとえば1234）へのリッスンソケットを開きます。次に、「ビジネスリクエスト」を使用してサーバー上で「ディスパッチ」サービスを呼び出します。このサービスは、リクエストを分割して他のサーバーに送信し（それらを呼び出しましょうS1 ... Sn）、ジョブの数を同期的にクライアントに返します。

W私のテストでは、13個のジョブがあり、多数のサーバーにディスパッチされ、2秒以内にすべてのサーバーがジョブの処理を終了し、結果をのソケットに返送しようとします。

ログを見ると、9つのジョブが受信されていることがわかりますW（この数はテストごとに異なります）。それで、残りの4つの仕事を探してみます。netstatこのWindowsボックスでを実行すると、4つのソケットが開いていることがわかります。

のスレッドダンプを実行するとW、4つのスレッドがこれらのソケットから読み取ろうとしていて、明らかにスタックしているのがわかりますjava.net.SocketInputStream.socketRead0(Native Method)。

それぞれのSボックスに移動してを実行するnetstatと、いくつかのバイトがまだ送信キューに残っていることがわかります。このバイト数は15分間移動しません。netstat（以下は、異なるマシンでのsの集約です）：

サーバーのスレッドダンプを実行すると、スレッドもスタックしていることがわかります java.net.SocketInputStream.socketRead0(Native Method)。書き込みを期待しますが、おそらく彼らはACKを待っていますか？（ここではわかりません。Javaで表示されますか？TCPプロトコルで直接処理するべきではありませんか？）

さて、非常に奇妙なことは、15分後（そして常に15分）、結果が受信され、ソケットが閉じられ、すべてが通常どおり続行されることです。

これは以前は常に機能していました。Sサーバーは別のデータセンターに移動したため、同じデータセンターWにSは存在しなくなりました。また、Sファイアウォールの背後にあります。すべてのポートはとの間で承認される必要がありますS（W私は言われています）。謎は本当に15分の遅れです。DDOSに対する何らかの保護になると思いましたか？

私はネットワークの専門家ではないので助けを求めましたが、誰も助けてくれません。Wireshark（以前のEthereal）でパケットをキャプチャする男と30分間過ごしましたが、「セキュリティ上の理由」から、結果を確認できません。彼はこれを分析して私に戻らなければなりません。ファイアウォールログを要求しました。同じ話。

私はこれらのボックスのルートでも管理者でもありません。今、私は何をすべきかわかりません...皆さんからの解決策を期待していませんが、進歩する方法についてのいくつかのアイデアは素晴らしいでしょう！

Web サーバーを DMZ に配置し、80 と 443 を除くすべてのポートへのインバウンド トラフィックをブロックする必要性を理解しています。また、サーバーが侵害された場合に備えて、ほとんどのアウトバウンド トラフィックもブロックする必要がある理由もわかります。

しかし、ポート 80 経由のアウトバウンド HTTP トラフィックをブロックする必要があるでしょうか? もしそうなら、なぜですか？最近の多くの Web アプリケーションは、外部 Web サービスおよび API からのデータの送信/取得に依存しているため、ポート 80 を介したアウトバウンド トラフィックをブロックすると、この機能が妨げられます。これを正当化するのに十分有効なセキュリティ上の懸念はありますか?

企業の vpn から github に git push/pull できません:

これはファイアウォールの問題だと思います.b/c vpnから切断すると機能します. それを回避するために私にできることはありますか？または、プッシュ/プルする必要があるときに VPN から切断されたままになっていますか?

一般的なファイアウォール アプライアンスのポートを開くための信頼できるプログラムによる方法はありますか?

ip6tables に使用できる connlimit モジュールがあるかどうか知っている人はいますか? 私にお知らせください。

ありがとう、ケネス

localhost マシンから (PHP のメール機能を使用して) 電子メールを送信したいのですが、メール サーバーがないため送信できません。さらに、厳重にファイアウォールで保護されたネットワークを介して電子メールを送信できる必要があります (どの程度かはまだわかりません)。

私の考えは、「QK SMTP Server 3」を利用して、それを取得して、私が持っている外部サーバーを「リレーサーバー」として使用することです。これは機能しますか？もっと簡単なオプションはありますか？

私のアプローチがOKなら。このリクエストを受信できるように、サーバーでポート 25 を開く方法を知りたいです。このコマンドを実行すると、次のようになります。

助けとアドバイスをありがとう。

解決済み

Hotmail は (驚くべきことに) 無料の中継サービスを提供しています。これをテストするとき、これがうまくいくことを願っています！しかし、外部のメール サーバーが最適です。

HTTP、HTTPS、および SSH (ポート 30000) のみにロックダウンした ubuntu サーバーがあります。このボックスには、99.9% の時間はローカルでのみ使用される MySQL サーバーがあります。ときどき、GUI ツールを使用して MySQL インスタンスに接続したいと思いますが、ファイアウォールには触れません。

したがって、SSH 接続で MySQL ボックスに接続できるように設定することは可能ですか? 私ができるポート転送の魔法はありますか?