Linux externer Zugriff HTTPS nicht möglich

  • Ersteller PowerShellAdmin
  • Erstellt am
P

PowerShellAdmin

Guest
Hallo zusammen,
ich habe ein Problem mit dem externen Https-Zugriff bei einer Linux-Installation.
Suse 11.4 und Nagios 3.2.3 habe ich installiert und eingerichtet, anschließend erstmal ein selfsigned Zertifikat hinzugefügt und die SSL.Conf angepasst.
Auf die Seite komme ich wunderbar per Https.

Nun möchte ich Nagios über den Port 443 extern erreichen. Wir haben ein öffentliches Subnet, welches auf dem 443er in der Firewall freigegeben ist.
Nun habe ich eine öffentliche IP, öffentliche Netzmaske und öffentliche Gatewayadresse per Add hinzugefügt.
Außerdem habe ich in der Susefirewall den Port 443 auf allen Zonen freigegeben.

Innerhalb des Intranets kann ich von Clients auf die interne IP zugreifen, außerdem kann ich mit Clients - welche im öffentlichen Netz sind- auch auf die öffentliche IP zugreifen.
Trotzdem erhalte ich von außen keinen Zugriff.

Hat Apache eine "Sperre" für externe Netze oder muss ich hier noch die Nat anpassen?
Da ich normalerweise mit dem IIS arbeite hoffe ich hier ein wenig Rat zu bekommen.

Grüße FunkyPunk



Uploaded with ImageShack.us
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Kommt der Traffic auf Port 443 auf dem Server an wenn du ihn aus dem Internet ansurfst?
Code: 
# tcpdump -i <externesInterface> port 443
Wenn ja, laust der Apache auf dem externen Interface auf Port 443?
Code: 
# netstat -tulpen
Einmal dann die Ausgabe posten.

Grüße
 
hi,
hier mal kurz die Auswertung von netstat -tulpen
Code: 
netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name   
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          5621       1379/rpcbind        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      0          6518       1863/httpd2-prefork 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          4651       1247/sshd           
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          5823       1418/cupsd          
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          6326       1774/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      0          6520       1863/httpd2-prefork 
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      110        8674       2068/nrpe           
tcp        0      0 :::111                  :::*                    LISTEN      0          5626       1379/rpcbind        
tcp        0      0 :::22                   :::*                    LISTEN      0          4653       1247/sshd           
tcp        0      0 ::1:631                 :::*                    LISTEN      0          5822       1418/cupsd          
udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          5608       1379/rpcbind        
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          5825       1418/cupsd          
udp        0      0 0.0.0.0:57980           0.0.0.0:*                           103        4607       1218/avahi-daemon:  
udp        0      0 0.0.0.0:680             0.0.0.0:*                           0          5620       1379/rpcbind        
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           103        4606       1218/avahi-daemon:  
udp        0      0 :::111                  :::*                                0          5623       1379/rpcbind        
udp        0      0 :::680                  :::*                                0          5625       1379/rpcbind

@tcpdump
"invalid adapter"
edit: intern und extern läuft über 1 Adapter. Extern habe ich als addtional IP hinzugefügt.
habe tcpdump ausgeführt und versucht extern zuzugreifen. keine reaktion.
psrv25:~ # tcpdump -i eth0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel
Zum Vergrößern anklicken....

edit2:
so eben die öffentliche IP aufgerufen - Client ist im Intranet und im Subnetz der öffentlichen IP

Code: 
srv25:~ # tcpdump -i eth0 port 443

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

11:33:13.260239 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [S], seq 3255738313, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:13.260324 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [S.], seq 1424712687, ack 3255738314, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:13.260540 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:13.270872 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [P.], seq 1:105, ack 1, win 16425, length 104

11:33:13.270910 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [.], ack 105, win 69, length 0

11:33:13.273425 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [P.], seq 1:1006, ack 105, win 69, length 1005

11:33:13.274262 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [P.], seq 105:303, ack 1006, win 16173, length 198

11:33:13.276812 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [P.], seq 1006:1065, ack 303, win 86, length 59

11:33:13.474285 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [F.], seq 303, ack 1065, win 16159, length 0

11:33:13.474641 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [P.], seq 1065:1102, ack 304, win 86, length 37

11:33:13.474706 IP monitor.xxxxx.https > PSRV20.xxxxx.49879: Flags [F.], seq 1102, ack 304, win 86, length 0

11:33:13.475043 IP PSRV20.xxxxx.49879 > monitor.xxxxx.https: Flags [R.], seq 304, ack 1102, win 0, length 0

11:33:13.483776 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [S], seq 1060164658, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:13.483837 IP monitor.xxxxx.https > PSRV20.xxxxx.49880: Flags [S.], seq 1438405885, ack 1060164659, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:13.484043 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:13.484448 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [P.], seq 1:137, ack 1, win 16425, length 136

11:33:13.484495 IP monitor.xxxxx.https > PSRV20.xxxxx.49880: Flags [.], ack 137, win 86, length 0

11:33:13.487196 IP monitor.xxxxx.https > PSRV20.xxxxx.49880: Flags [P.], seq 1:146, ack 137, win 86, length 145

11:33:13.488199 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [P.], seq 137:196, ack 146, win 16388, length 59

11:33:13.491460 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [F.], seq 196, ack 146, win 16388, length 0

11:33:13.491579 IP monitor.xxxxx.https > PSRV20.xxxxx.49880: Flags [P.], seq 146:183, ack 197, win 86, length 37

11:33:13.491636 IP monitor.xxxxx.https > PSRV20.xxxxx.49880: Flags [F.], seq 183, ack 197, win 86, length 0

11:33:13.491929 IP PSRV20.xxxxx.49880 > monitor.xxxxx.https: Flags [R.], seq 197, ack 183, win 0, length 0

11:33:15.373456 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [S], seq 4088382745, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:15.373516 IP monitor.xxxxx.https > PSRV20.xxxxx.49881: Flags [S.], seq 1466848690, ack 4088382746, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:15.373739 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:15.374067 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [P.], seq 1:137, ack 1, win 16425, length 136

11:33:15.374090 IP monitor.xxxxx.https > PSRV20.xxxxx.49881: Flags [.], ack 137, win 86, length 0

11:33:15.375371 IP monitor.xxxxx.https > PSRV20.xxxxx.49881: Flags [P.], seq 1:146, ack 137, win 86, length 145

11:33:15.376549 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [P.], seq 137:196, ack 146, win 16388, length 59

11:33:15.377846 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [F.], seq 196, ack 146, win 16388, length 0

11:33:15.378006 IP monitor.xxxxx.https > PSRV20.xxxxx.49881: Flags [P.], seq 146:183, ack 197, win 86, length 37

11:33:15.378092 IP monitor.xxxxx.https > PSRV20.xxxxx.49881: Flags [F.], seq 183, ack 197, win 86, length 0

11:33:15.378294 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [S], seq 4252984367, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:15.378319 IP monitor.xxxxx.https > PSRV20.xxxxx.49882: Flags [S.], seq 1458184350, ack 4252984368, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:15.379796 IP PSRV20.xxxxx.49881 > monitor.xxxxx.https: Flags [R.], seq 197, ack 183, win 0, length 0

11:33:15.379807 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:15.380084 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [P.], seq 1:137, ack 1, win 16425, length 136

11:33:15.380103 IP monitor.xxxxx.https > PSRV20.xxxxx.49882: Flags [.], ack 137, win 86, length 0

11:33:15.382443 IP monitor.xxxxx.https > PSRV20.xxxxx.49882: Flags [P.], seq 1:146, ack 137, win 86, length 145

11:33:15.383459 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [P.], seq 137:196, ack 146, win 16388, length 59

11:33:15.384682 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [F.], seq 196, ack 146, win 16388, length 0

11:33:15.384900 IP monitor.xxxxx.https > PSRV20.xxxxx.49882: Flags [P.], seq 146:183, ack 197, win 86, length 37

11:33:15.385022 IP monitor.xxxxx.https > PSRV20.xxxxx.49882: Flags [F.], seq 183, ack 197, win 86, length 0

11:33:15.385127 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [S], seq 1821498217, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:15.385151 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [S.], seq 1463690115, ack 1821498218, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:15.385796 IP PSRV20.xxxxx.49882 > monitor.xxxxx.https: Flags [R.], seq 197, ack 183, win 0, length 0

11:33:15.385807 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:15.386048 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [P.], seq 1:137, ack 1, win 16425, length 136

11:33:15.386063 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [.], ack 137, win 86, length 0

11:33:15.388594 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [P.], seq 1:146, ack 137, win 86, length 145

11:33:15.390175 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [P.], seq 137:196, ack 146, win 16388, length 59

11:33:15.397417 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [P.], seq 196:649, ack 146, win 16388, length 453

11:33:15.397457 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [.], ack 649, win 102, length 0

11:33:15.398227 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [.], seq 146:1606, ack 649, win 102, length 1460

11:33:15.398234 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [P.], seq 1606:1788, ack 649, win 102, length 182

11:33:15.398576 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [.], ack 1788, win 16425, length 0

11:33:15.450527 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [P.], seq 649:990, ack 1788, win 16425, length 341

11:33:15.457072 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [.], seq 1788:4708, ack 990, win 119, length 2920

11:33:15.457086 IP monitor.xxxxx.https > PSRV20.xxxxx.49883: Flags [P.], seq 4708:5705, ack 990, win 119, length 997

11:33:15.457500 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [.], ack 5705, win 16425, length 0

11:33:15.457815 IP PSRV20.xxxxx.49883 > monitor.xxxxx.https: Flags [R.], seq 990, ack 5705, win 0, length 0

11:33:15.475710 IP PSRV20.xxxxx.49884 > monitor.xxxxx.https: Flags [S], seq 2475322782, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

11:33:15.475744 IP monitor.xxxxx.https > PSRV20.xxxxx.49884: Flags [S.], seq 1458690093, ack 2475322783, win 4380, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0

11:33:15.476056 IP PSRV20.xxxxx.49884 > monitor.xxxxx.https: Flags [.], ack 1, win 16425, length 0

11:33:15.476203 IP PSRV20.xxxxx.49884 > monitor.xxxxx.https: Flags [P.], seq 1:137, ack 1, win 16425, length 136

11:33:15.476222 IP monitor.xxxxx.https > PSRV20.xxxxx.49884: Flags [.], ack 137, win 86, length 0

11:33:15.478420 IP monitor.xxxxx.https > PSRV20.xxxxx.49884: Flags [P.], seq 1:146, ack 137, win 86, length 145

11:33:15.479038 IP PSRV20.ffm.xxxxx.biz.49884 > monitor.xxxxx.biz.https: Flags [P.], seq 137:196, ack 146, win 16388, length 59

11:33:15.479841 IP PSRV20.ffm.xxxxx.biz.49884 > monitor.xxxxx.biz.https: Flags [P.], seq 196:665, ack 146, win 16388, length 469

11:33:15.479916 IP monitor.xxxxx.biz.https > PSRV20.ffm.xxxxx.biz.49884: Flags [.], ack 665, win 102, length 0

11:33:15.482748 IP monitor.xxxxx.biz.https > PSRV20.ffm.xxxxx.biz.49884: Flags [.], seq 146:4526, ack 665, win 102, length 4380

11:33:15.482758 IP monitor.xxxxx.biz.https > PSRV20.ffm.xxxxx.biz.49884: Flags [P.], seq 4526:4733, ack 665, win 102, length 207

11:33:15.484284 IP PSRV20.ffm.xxxxx.biz.49884 > monitor.xxxxx.biz.https: Flags [.], ack 4733, win 16425, length 0

^C

74 packets captured

74 packets received by filter

0 packets dropped by kernel
 
Zuletzt bearbeitet:
Ok, dann liegt der Fehler offensichtlich irgendwo zwischen dem Client und dem Server. Was bekommst du denn als Fehlermeldung vom Browser?
 
so eben noch aktualisiert. hoffe du hast mein edit gesehen.
im Intranet kann ich aus dem Subnet des öffentlichen IP-Pools drauf zugreifen. Also sollte der Apache Listener funktionieren.
Port 443 ist im Router freigegeben und in der Linuxfirewall (SUSE Firewall).

Fehlerseite=>Cannot display the webpage

Das Gateway kann ich ausschließen, daher muss es ja an einem Problem auf der Linuxkiste liegen. Muss ich hier noch was an den IPTables rumfummeln ?
 
Zuletzt bearbeitet:
Welche Distribution läuft auf dem Server?
Könntest Testweise mal darin eventuell enthaltene Firewalls abschalten.
Und nochmal schauen ob die Ausgabe von
Code: 
# iptables -L
# cat /etc/hosts.deny
# cat /etc/hosts.allow
Hinweise bringt.
 
d0mr4f schrieb:
was steht den in der Apache Config für Nagios drin?
Zum Vergrößern anklicken....
Das ist doch nicht relevant wenn der Kernel keine ankommenden Pakete sieht...

Nochmal eine Ausgabe von
Code: 
# ifconfig -a
bitte
 
Zuletzt bearbeitet:
erstmal vielen Dank für eure Hilfe!
habe hier hoffentlich die richtigen Ausgaben alle beisammen.

KuchenKerze schrieb:
Welche Distribution läuft auf dem Server?
Könntest Testweise mal darin eventuell enthaltene Firewalls abschalten.
Und nochmal schauen ob die Ausgabe von
Code: 
# iptables -L
# cat /etc/hosts.deny
# cat /etc/hosts.allow
Hinweise bringt.
Zum Vergrößern anklicken....

Code: 
psrv25:~ # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            ctstate ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            ctstate RELATED 
input_dmz  all  --  anywhere             anywhere            
input_ext  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain forward_dmz (0 references)
target     prot opt source               destination         

Chain forward_ext (0 references)
target     prot opt source               destination         

Chain input_dmz (1 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:http flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INdmz-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:https flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INdmz-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:http 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:https 
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INdmz-DROP-DEFLT ' 
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INdmz-DROP-DEFLT ' 
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 ctstate NEW LOG level warning tcp-options ip-options prefix `SFW2-INdmz-DROP-DEFLT ' 
DROP       all  --  anywhere             anywhere            

Chain input_ext (1 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:http flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:https flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:http 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:https 
LOG        tcp  --  psrv25               anywhere            tcp dpt:https ctstate NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC ' 
ACCEPT     tcp  --  psrv25               anywhere            tcp dpt:https 
cat /etc/hosts.dLOG        tcp  --  85.220.158.36        anywhere            tcp dpt:https ctstate NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC ' 
ACCEPT     tcp  --  85.220.158.36        anywhere            tcp dpt:https 
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 ctstate NEW LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
DROP       all  --  anywhere             anywhere            

Chain reject_func (0 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable 
psrv25:~ # cat /etc/hosts.deny
# /etc/hosts.deny
# See 'man tcpd' and 'man 5 hosts_access' as well as /etc/hosts.allow
# for a detailed description.

http-rman : ALL EXCEPT LOCAL

psrv25:~ # cat /etc/hosts.allow
# /etc/hosts.allow
# See 'man tcpd' and 'man 5 hosts_access' for a detailed description
# of /etc/hosts.allow and /etc/hosts.deny.
#
# short overview about daemons and servers that are built with
# tcp_wrappers support:
# 
# package name  |       daemon path     |       token
# ----------------------------------------------------------------------------
# ssh, openssh  |  /usr/sbin/sshd       |  sshd, sshd-fwd-x11, sshd-fwd-<port>
# quota         | /usr/sbin/rpc.rquotad |  rquotad
# tftpd         | /usr/sbin/in.tftpd    |  in.tftpd
# portmap       |  /sbin/portmap        |  portmap
#                       The portmapper does not verify against hostnames
#                       to prevent hangs. It only checks non-local addresses.
# 
# (kernel nfs server)
# nfs-utils     |  /usr/sbin/rpc.mountd |  mountd
# nfs-utils     |  /sbin/rpc.statd      |  statd
#
# (unfsd, userspace nfs server)
# nfs-server    |  /usr/sbin/rpc.mountd |  rpc.mountd
# nfs-server    |  /usr/sbin/rpc.ugidd  |  rpc.ugidd
#
# (printing services)
# lprng         |  /usr/sbin/lpd        |  lpd
# cups          |  /usr/sbin/cupsd      |  cupsd
#                       The cupsd server daemon reports to the cups
#                       error logs, not to the syslog(3) facility.
#
# (Uniterrupted Power Supply Software)
# apcupsd       |  /sbin/apcupsd        |  apcupsd
# apcupsd       |  /sbin/apcnisd        |  apcnisd
# 
# All of the other network servers such as samba, apache or X, have their own
# access control scheme that should be used instead.
#
# In addition to the services above, the services that are started on request 
# by inetd or xinetd use tcpd to "wrap" the network connection. tcpd uses
# the last component of the server pathname as a token to match a service in
# /etc/hosts.{allow,deny}. See the file /etc/inetd.conf for the token names.
# The following examples work when uncommented:
#
#
# Example 1: Fire up a mail to the admin if a connection to the printer daemon
# has been made from host foo.bar.com, but simply deny all others:
# lpd : foo.bar.com : spawn /bin/echo "%h printer access" | \
#                               mail -s "tcp_wrappers on %H" root
# 
#
# Example 2: grant access from local net, reject with message from elsewhere.
# in.telnetd : ALL EXCEPT LOCAL : ALLOW
# in.telnetd : ALL : \
#    twist /bin/echo -e "\n\raccess from %h declined.\n\rGo away.";sleep 2
#
#
# Example 3: run a different instance of rsyncd if the connection comes 
#            from network 172.20.0.0/24, but regular for others:
# rsyncd : 172.20.0.0/255.255.255.0 : twist /usr/local/sbin/my_rsyncd-script
# rsyncd : ALL : ALLOW
#
@ipconfig -a
Code: 
psrv25:~ # ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:50:56:BF:0C:58  
          inet addr:10.1.2.25  Bcast:10.1.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24925 errors:0 dropped:13 overruns:0 frame:0
          TX packets:6228 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:11025589 (10.5 Mb)  TX bytes:857856 (837.7 Kb)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:973 errors:0 dropped:0 overruns:0 frame:0
          TX packets:973 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:134580 (131.4 Kb)  TX bytes:134580 (131.4 Kb)
Wieso zeigt er hier nicht die öffentliche IP mit an ?
 
Zuletzt bearbeitet:
Bin ich blind oder hat der Server nur eine Private IP-Adresse?
 
KuchenKerze schrieb:
Bin ich blind oder hat der Server nur eine Private IP-Adresse?
Zum Vergrößern anklicken....

Der Server hat eine Netzwerkkarte "Eth0". Hier läuft die Private IPAdresse, und die öffentliche als zusätzlich- Siehe hierzu bitte meinen ersten Screenshot.

Hatte bereits eine zweite Netzkarte hinzugefügt und es geteilt, das hatte es aber auch nicht verbessert

edit:
habe wieder eine 2. karte hinzugefügt.

Code: 
eth0      Link encap:Ethernet  HWaddr 00:50:56:BF:0C:58  
          inet addr:10.1.2.25  Bcast:10.1.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1669 errors:0 dropped:46 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:139626 (136.3 Kb)  TX bytes:3276 (3.1 Kb)

eth1      Link encap:Ethernet  HWaddr 00:50:56:BF:0C:59  
          inet addr:10.1.2.177  Bcast:10.1.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1622 errors:0 dropped:5 overruns:0 frame:0
          TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:131611 (128.5 Kb)  TX bytes:6431 (6.2 Kb)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:88 errors:0 dropped:0 overruns:0 frame:0
          TX packets:88 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:11018 (10.7 Kb)  TX bytes:11018 (10.7 Kb)

psrv25:~ # ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:50:56:BF:0C:58  
          inet addr:10.1.2.25  Bcast:10.1.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1758 errors:0 dropped:64 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:148667 (145.1 Kb)  TX bytes:3276 (3.1 Kb)

eth1      Link encap:Ethernet  HWaddr 00:50:56:BF:0C:59  
          inet addr:85.220.xxx.40  Bcast:85.220.xxx.63  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1686 errors:0 dropped:5 overruns:0 frame:0
          TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:136348 (133.1 Kb)  TX bytes:9937 (9.7 Kb)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:98 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:12445 (12.1 Kb)  TX bytes:12445 (12.1 Kb)
 
Zuletzt bearbeitet:
Auch wenn die IP über ein Frontend konfiguriert wird muss sie ja über ifconfig sichtbar sein ;) Ist die externe IP vom Server selbst aus pingbar?
 
sie obigen posts, habs wieder in 2 karten gesplittet. (ist ne vm)

hoffe das erleichtert das debugen, hier stehen nun auch beide ips drinne.
 
von draußen pingen kannst du ihn auch nicht, oder? Somit dürfte der Fehler erstmal im Routing oder einer Firewall die dazwischen hängt liegen.
Ein Traceroute auf die IP bricht bei mir bei der 213.172.101.156 ab, wobei ICMP auf dem Server selbst soweit ich sehe freigegeben sein sollte.
 
Also wir haben ein kleines Subnet, dieses ist im Router einfach freigegeben. Teste das morgen nochmal gegen.
Setze kurz nen Windowsrechner mit HTTPS rein. Da andere IPs gehen, möchte ich es aber nahezu ausschließen.
Ping kann nicht gehen, habe ich unterbunden, wie den Rest. Eingehend geht nur 443 (außer 2 Sonderregeln).

Habe leider auch kaum Erfahrung mit Linux, Ziel war auf Nagios per App auf den Mobilgerät zuzugreifen (Funzt auch ausm W-Lan).
 
Der Kack läuft in einer VM, na Glückwunsch. ARP Proxy aktiv oder Routing vernünftig konfiguriert?
Wenn Du Ping unterbindest, wie willst du dann debuggen? Vielleicht schmeisst Du erstmal die chinesische Firewall weg und siehst zu, dass es ohne Filterregeln klappt? *kopfschüttel*
 
leeps schrieb:
Der Kack läuft in einer VM, na Glückwunsch. ARP Proxy aktiv oder Routing vernünftig konfiguriert?
Wenn Du Ping unterbindest, wie willst du dann debuggen? Vielleicht schmeisst Du erstmal die chinesische Firewall weg und siehst zu, dass es ohne Filterregeln klappt? *kopfschüttel*
Zum Vergrößern anklicken....

Lancom ist die Modemsparte, der ursprünglich in Deutschland gegründeten Firma Elsa.
Zum Thema Debuggen der externe IP geht per Traceroute bis zu WAN IP, auf der der IP Pool konfiguriert ist -> alles richtig.

Des Weiteren ist der externe Zugriff via HTTPS in unserem IP Pool ohne Probleme möglich , habe das natürlich alles gegen getestet, kurzzeitig auch mal die Firewallregeln deaktiviert.
Das Problem liegt ausschließlich an der Konfiguration des Linuxsystems.
Die VM läuft auf einen ESXi, virtuelles Routing haben wir hier nicht.
Im Regelfall reicht es aus die externe IP Adresse auf den Lanadapter hinzuzufügen, funktioniert schließlich bei unseren Windows Servern auch.

Die Susefirewall hatte ich natürlich auch schon deaktiviert, sowie hier mal den Adapter testweise nur mit der externen IP-Konfiguration befüllt - keine Besserung.

PS: Der Ton macht die Musik, du solltest hier deine Umgangsformen mal überdenken.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

U
Fragenkomplex zum Zugriff auf Netzwerk von aussen
2
Antworten
36
Aufrufe
3K
uan
U
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
350
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh