Le port 443 sur iSeries v5r4 est «filtré» pour les clients Internet, même s'il est autorisé dans les règles de pare-feu. Comment puis-je le rendre «ouvert»?
-
10-07-2019 - |
Question
Le port a été filtré par le FAI.
Le problème est que le port HTTPS 443 n'est pas accessible depuis Internet, mais qu'il est ouvert sur notre réseau local. Notre iSeries v5r4 est connectée à inet via L2TP sans IPSec. Si aucun filtre de paquets n'est actif, nmap indique que les ports 25, 80, 110 et même 10322 (console d'administration WAS) ont l'état "ouvert" sur l'adresse IP Internet. 443 ont l'état 'filtré'.
Si j'active les règles de paquet suivantes:
# -----------------------------------------------
# Statements to permit inbound HTTP over STATICIP
# -----------------------------------------------
INCLUDE FILE = /QIBM/UserData/OS400/TCPIP/PacketRules/Services.i3p
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = * DSTADDR = * SERVICE = HTTP_80_FS JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = * SERVICE = HTTP_80_FC JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = * DSTADDR = * SERVICE = HTTP_443_FS JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = * SERVICE = HTTP_443_FC JRN = OFF
FILTER_INTERFACE INTERFACE = STATICIP SET = HTTP_INBOUND
# -----------------------------------------------
le port 80 est "ouvert", 443 est "filtré".
Comment puis-je le rendre "ouvert"?
La solution
Certains FAI filtrent des ports spécifiques, comme RoadRunner utilisé pour filtrer mon serveur Web. Ce serait étrange puisque 80 n'est pas filtré, mais c'est une possibilité.
Autres conseils
Documentation en ligne IBM à propos de Le filtrage IP et la NAT peuvent aider à résoudre le problème.
Vous devez configurer votre pare-feu pour ouvrir et fermer les ports TCP / IP.
Chaque pare-feu possède une liste de ports (ou de plages de ports) ouverts ou fermés pour le trafic. Veuillez consulter la documentation de votre pare-feu / routeur ou consultez votre administrateur système.
Le port 443 étant le port SSL, il est donc tout à fait possible que votre pare-feu ou votre iSeries dispose d'un filtre supplémentaire qui doit être défini pour autoriser le trafic SSL à destination de celui-ci.
Merci pour vos réponses! Le pare-feu est configuré pour ouvrir les ports 80 et 443. Mais le 443 est quand même filtré. Notre FAI ne filtre aucun port.