Tham gia Đăng nhập
Điểm:0
Rafael Emshoff avatar Server

SSH hoạt động, ping và https không nhận được phản hồi

lá cờ cn
Rafael Emshoff

Lý lịch: Tôi đang cố định cấu hình máy chủ Ubuntu để chạy ứng dụng node.js với https. Trước đây tôi đã có mọi thứ hoạt động tốt với http (được định cấu hình một năm trước) và tôi muốn mở tường lửa cho :443 và chuyển hướng nó đến :8443:

sudo ufw cho phép 443/tcp
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Khi dùng thử ứng dụng của tôi, hóa ra yêu cầu https không đăng ký với ứng dụng (không có gì trong nhật ký ứng dụng và trình duyệt không bao giờ nhận được phản hồi cho yêu cầu). Khi tôi ping máy chủ, tôi cũng không nhận được phản hồi (thậm chí còn không hết thời gian chờ).Bảng điều khiển nhà cung cấp đám mây của tôi cũng cho biết rằng nó không thể ping máy chủ và cấu hình tường lửa của nhà cung cấp đám mây cũng cho biết 443 được phép cho tất cả tcp. ... Nhưng, tôi vẫn có thể ssh vào máy chủ mà không gặp sự cố.

Câu hỏi Làm thế nào tôi có thể khắc phục sự cố này? Theo như tôi có thể nói

  • :443 được cho phép trên tường lửa
  • :443 chuyển hướng đến :8443
  • nút đang nghe: 8443
    trạng thái sudo ufw
    Đến hành động từ
    -- ------ ----
    80/tcp CHO PHÉP mọi nơi                  
    443/tcp CHO PHÉP mọi nơi                  
    80/tcp (v6) CHO PHÉP mọi nơi (v6)             
    443/tcp (v6) CHO PHÉP mọi nơi (v6)


    Sudo iptables -t nat -L -n -v
    PREROUTING chuỗi (chính sách CHẤP NHẬN 9477 gói, 1121K byte)
    pkts byte đích prot chọn không tham gia đích nguồn         
    1413K 59M TRỰC TIẾP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng 8080
        0 0 CHUYỂN ĐỔI tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng 8080
        0 0 CHUYỂN ĐỔI tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng 8080
        0 0 CHUYỂN ĐỔI tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng 8080
        0 0 TRỰC TIẾP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng 8080
        0 0 CHUYỂN ĐỔI tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 cổng chuyển hướng 8443

    Chuỗi INPUT (chính sách CHẤP NHẬN 6826 gói, 410K byte)
     pkts byte đích prot chọn không tham gia đích nguồn         

    ĐẦU RA chuỗi (chính sách CHẤP NHẬN 74 gói, 6925 byte)
     pkts byte đích prot chọn không tham gia đích nguồn         

    Chuỗi POSTROUTING (chính sách CHẤP NHẬN 74 gói, 6925 byte)
     pkts byte đích prot chọn không tham gia đích nguồn


    sudo netstat -ntlp
    Kết nối Internet đang hoạt động (chỉ máy chủ)
    Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái PID/Tên chương trình    
    tcp 0 0 127.0.0.53:53 0.0.0.0:* NGHE 108911/systemd-reso 
    tcp 0 0 0.0.0.0:22 0.0.0.0:* NGHE 112287/sshd         
    tcp 0 0 0.0.0.0:1022 0.0.0.0:* NGHE 125785/sshd         
    tcp6 0 0 :::22 :::* NGHE 112287/sshd         
    tcp6 0 0 :::8443 :::* NGHE 125414/nút         
    tcp6 0 0 :::1022 :::* NGHE 125785/sshd


Sudo iptables -L -nv
Chuỗi INPUT (chính sách DROP 120 gói, 30108 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
    0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
    0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
 381K 34M CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
    0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
  998 94467 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
 8163 1107K CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0           
  54M 15G CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 trạng thái LIÊN QUAN, ĐÃ THÀNH LẬP
2892K 172M CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chuỗi FORWARD (chính sách DROP 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 5873 gói, 874K byte)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-after-forward (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-after-input (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-sau-đăng nhập-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-sau-đăng nhập-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-sau-đăng-xuất (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-after-output (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đăng nhập-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đăng nhập-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đăng-xuất (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đầu ra (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-log-allow (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-đăng nhập-từ chối (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-not-local (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-từ chối-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-từ chối-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-từ chối-đầu ra (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-skip-to-policy-forward (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-skip-to-policy-input (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-skip-to-policy-output (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-theo dõi-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-theo dõi-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-theo dõi-đầu ra (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng-đầu vào (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         
    0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443

Chuỗi ufw-giới hạn người dùng (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng-giới hạn-chấp nhận (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng-đăng nhập-chuyển tiếp (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-user-log-input (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-user-log-output (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-user-output (0 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn
291
1 + 5
lá cờ jp
Dom
Vui lòng thêm kết quả của lệnh "iptables -L -nv". ICMP có thể bị chặn. Bạn nên thêm nhật ký khi một gói bị hủy: nó sẽ giúp chẩn đoán sự cố.
0
Hồi đáp
Rafael Emshoff avatar
lá cờ cn
Rafael Emshoff
Đã thêm kết quả lệnh. Làm cách nào để "thêm nhật ký khi gói bị hủy"? Đây có phải là nhật ký tường lửa không? Tôi đang kiểm tra ICMP này https://askubuntu.com/questions/6995/how-to-enable-ufw-firewall-to-allow-icmp-response
0
Hồi đáp
Rafael Emshoff avatar
lá cờ cn
Rafael Emshoff
ICMP dường như đã được kích hoạt. `-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT`
0
Hồi đáp
Rafael Emshoff avatar
lá cờ cn
Rafael Emshoff
câu hỏi tương tự: https://serverfault.com/questions/311612/ping-fails-but-ssh-succeeds https://serverfault.com/questions/392704/ssh-connection-refused-with-out-iptables-rulles?rq=1
0
Hồi đáp
Martin avatar
lá cờ kz
Martin
Tôi sẽ thay đổi REDIRECT bên trong PREROUTING của bạn thành DNAT: https://serverfault.com/questions/179200/difference-beetween-dnat-and-redirect-in-iptables
0
Hồi đáp
Điểm:0
Michael Hampton avatar Server
lá cờ cz
Michael Hampton

Khởi động lại ufw.

Sudo systemctl khởi động lại ufw

Đầu ra iptables của bạn cho thấy rằng hầu hết các quy tắc được thêm bởi ufw đều bị thiếu. Điều này là do xóa thủ công các bảng (ví dụ: Sudo iptables -F) trong khi ufw vẫn đang chạy, điều gì đó tất nhiên cũng sẽ làm xáo trộn các quy tắc của ufw và gây ra nhiều sự cố, nhưng các hướng dẫn ngẫu nhiên trên Internet sẽ cho bạn biết cách thực hiện.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.