Tham gia Đăng nhập
Điểm:1
Artem Ilchenko avatar Server

nginx không chấp nhận kết nối từ IP bên ngoài

lá cờ mc
Artem Ilchenko

Tôi có máy chủ Ubuntu và đã cài đặt nginx và nó không chấp nhận kết nối từ các IP bên ngoài (tôi thấy ERR_CONNECTION_REFUSED khi thử thực hiện yêu cầu từ trình duyệt)

Nginx đang chạy, nó phản hồi khi tôi thực hiện các yêu cầu cục bộ hoặc thông qua chuyển tiếp cổng ssh.

80 cũng được mở: cổng sudo tcpdump 80

tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên ens3, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
21: 43: 22.336738 IP phiên bản IP-20210822-2338.subnet072301010 ], chiều dài 0
21:43:22.336873 IP 169.254.169.254.http > instance-20210822-2338.subnet07230103.vcn07230103.oraclevcn.com.54174: Flags [.], ack 1, win 38, tùy chọn [nop,nop,TS val 1049103282 ], chiều dài 0
21:43:29.002266 IP instance-20210822-2338.subnet07230103.vcn07230103.oraclevcn.com.54176 > 169.254.169.254.http: Flags [S], seq 1921592569, win 62720,OK tùy chọn [mss 23,8960 val 0,nop,wscale 7], độ dài 0
21:43:29.002425 IP 169.254.169.254.http > instance-20210822-2338.subnet07230103.vcn07230103.oraclevcn.com.54176: Flags [S.], seq 1203946486, ack 1921592870, tùy chọn win 19215928, 1mss09, 09op nop,TS val 1049109950 ecr 2352888022,nop,wscale 9], độ dài 0

Làm cách nào để gỡ lỗi tại sao nginx không nhận được yêu cầu?

CẬP NHẬT nginx -T đầu ra

nginx: cú pháp file cấu hình /etc/nginx/nginx.conf là ok
nginx: file cấu hình /etc/nginx/nginx.conf kiểm tra thành công
# tập tin cấu hình /etc/nginx/nginx.conf:
dữ liệu www của người dùng;
worker_processes tự động;
pid /run/nginx.pid;
bao gồm /etc/nginx/modules-enabled/*.conf;

sự kiện {
    công_nhân kết_nối 768 ;
    # đa_chấp vào ;
}

http {

    ##
    # Cài đặt cơ bản
    ##

    gửi tệp trên;
    bật tcp_nopus;
    bật tcp_nodelay;
    keepalive_timeout 65;
    loại_hash_max_size 2048;
    # server_token tắt;

    # server_name_hash_bucket_size 64;
    # máy chủ_tên_trong_chuyển hướng tắt;

    bao gồm /etc/nginx/mime.types;
    ứng dụng default_type/octet-stream;

    ##
    # Cài đặt SSL
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Bỏ SSLv3, tham khảo: POODLE
    bật ssl_prefer_server_ciphers;

    ##
    # Cài đặt ghi nhật ký
    ##

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    ##
    # Cài đặt Gzip
    ##

    bật gzip;

    # gzip_vary bật;
    # gzip_proxied bất kỳ;
    # gzip_comp_cấp 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # văn bản gzip_types/văn bản thuần túy/ứng dụng css/ứng dụng json/văn bản javascript/ứng dụng xml/ứng dụng xml/xml+văn bản rss/javascript;

    ##
    # Cấu hình máy chủ ảo
    ##

    bao gồm /etc/nginx/conf.d/*.conf;
    bao gồm /etc/nginx/sites-enabled/*;
}


#email {
# # Xem tập lệnh xác thực mẫu tại:
# # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
# # auth_http localhost/auth.php;
# # pop3_capabilities "TOP" "NGƯỜI DÙNG";
# # khả năng của imap "IMAP4rev1" "UIDPLUS";
#
#   người phục vụ {
# nghe máy chủ cục bộ: 110;
# giao thức pop3;
# bật proxy;
# }
#
#   người phục vụ {
# nghe localhost:143;
# hình ảnh giao thức;
# bật proxy;
# }
#}

# tệp cấu hình /etc/nginx/modules-enabled/50-mod-http-image-filter.conf:
mô-đun load_module/ngx_http_image_filter_module.so;

# tệp cấu hình /etc/nginx/modules-enabled/50-mod-http-xslt-filter.conf:
mô-đun load_module/ngx_http_xslt_filter_module.so;

# tệp cấu hình /etc/nginx/modules-enabled/50-mod-mail.conf:
mô-đun load_module/ngx_mail_module.so;

# tệp cấu hình /etc/nginx/modules-enabled/50-mod-stream.conf:
mô-đun load_module/ngx_stream_module.so;

# tập tin cấu hình /etc/nginx/mime.types:

các loại {
    văn bản/html html htm shtml;
    văn bản/css css;
    văn bản/xml xml;
    hình ảnh/gif gif;
    hình ảnh/jpeg jpeg jpg;
    ứng dụng/javascript js;
    ứng dụng/nguyên tử + nguyên tử xml;
    ứng dụng/rss+xml rss;

    văn bản/toán học mml;
    văn bản/txt đơn giản;
    text/vnd.sun.j2me.app-descriptor jad;
    text/vnd.wap.wml wml;
    văn bản/x-thành phần htc;

    hình ảnh/png png;
    hình ảnh/tiff tif tiff;
    image/vnd.wap.wbmp wbmp;
    hình ảnh/biểu tượng x ico;
    hình ảnh/x-jng jng;
    hình ảnh/x-ms-bmp bmp;
    hình ảnh/svg+xml svg svgz;
    hình ảnh/webp webp;

    ứng dụng/phông chữ woff;
    ứng dụng/java-archive jar chiến tai;
    ứng dụng/json json;
    ứng dụng/mac-binhex40 hqx;
    tài liệu ứng dụng/msword;
    ứng dụng/pdf pdf;
    ứng dụng/tái bút ps eps ai;
    ứng dụng/rtf rtf;
    ứng dụng/vnd.apple.mpegurl m3u8;
    ứng dụng/vnd.ms-excel xls;
    ứng dụng/vnd.ms-fontobject eot;
    application/vnd.ms-powerpoint ppt;
    ứng dụng/vnd.wap.wmlc wmlc;
    ứng dụng/vnd.google-earth.kml+xml kml;
    ứng dụng/vnd.google-earth.kmz kmz;
    ứng dụng/x-7z-nén 7z;
    ứng dụng/x-ca cao cco;
    ứng dụng/x-java-archive-diff jardiff;
    ứng dụng/x-java-jnlp-tệp jnlp;
    ứng dụng/x-makeself chạy;
    ứng dụng/x-perl pl chiều;
    ứng dụng/x-pilot prc pdb;
    ứng dụng/x-rar-rar nén;
    ứng dụng/x-redhat-gói-quản lý rpm;
    ứng dụng/x-biển biển;
    ứng dụng/x-shockwave-flash swf;
    ứng dụng/x-stuffit ngồi;
    ứng dụng/x-tcl tcl tk;
    ứng dụng/x-x509-ca-cert der pem crt;
    ứng dụng/x-xpinstall xpi;
    ứng dụng/xhtml+xml xhtml;
    ứng dụng/xspf+xml xspf;
    ứng dụng/zip zip;

    ứng dụng/octet-stream bin exe dll;
    gỡ lỗi ứng dụng/octet-stream;
    ứng dụng/octet-stream dmg;
    ứng dụng/octet-stream iso img;
    ứng dụng/octet-stream msi msp msm;

    application/vnd.openxmlformats-officedocument.wordprocessingml.document docx;
    application/vnd.openxmlformats-officedocument.spreadsheetml.sheet xlsx;
    application/vnd.openxmlformats-officedocument.presentationml.presentation pptx;

    âm thanh/midi mid midi kar;
    âm thanh/mpeg mp3;
    âm thanh/ogg ogg;
    âm thanh/x-m4a m4a;
    âm thanh/x-realaudio ra;

    video/3gpp 3gpp 3gp;
    video/mp2t ts;
    video/mp4 mp4;
    video/mpeg mpeg mpg;
    video/quicktime mov;
    video/webm webm;
    video/x-flv flv;
    video/x-m4v m4v;
    video/x-mng mng;
    video/x-ms-asf asx asf;
    video/x-ms-wmv wmv;
    video/x-msvideo avi;
}

# tệp cấu hình /etc/nginx/sites-enabled/default:
##
# Bạn nên xem URL sau để hiểu rõ
# tệp cấu hình Nginx để giải phóng hoàn toàn sức mạnh của Nginx.
# https://www.nginx.com/resources/wiki/start/
# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
# https://wiki.debian.org/Nginx/DirectoryStructure
#
# Trong hầu hết các trường hợp, quản trị viên sẽ xóa tệp này khỏi các trang web đã bật/ và
# để nó làm tài liệu tham khảo bên trong các trang web có sẵn, nơi nó sẽ tiếp tục tồn tại
# được cập nhật bởi nhóm đóng gói nginx.
#
# Tệp này sẽ tự động tải các tệp cấu hình do người khác cung cấp
# ứng dụng, chẳng hạn như Drupal hoặc Wordpress. Các ứng dụng này sẽ được thực hiện
# có sẵn bên dưới đường dẫn có tên gói đó, chẳng hạn như /drupal8.
#
# Vui lòng xem /usr/share/doc/nginx-doc/examples/ để biết thêm các ví dụ chi tiết.
##

# Cấu hình máy chủ mặc định
#
người phục vụ {
    nghe 80 default_server;

    # Cấu hình SSL
    #
    # nghe 443 ssl default_server;
    # lắng nghe [::]:443 ssl default_server;
    #
    # Lưu ý: Bạn nên tắt gzip cho lưu lượng SSL.
    # Xem: https://bugs.debian.org/773332
    #
    # Đọc ssl_ciphers để đảm bảo cấu hình an toàn.
    # Xem: https://bugs.debian.org/765782
    #
    # Chứng chỉ tự ký được tạo bởi gói ssl-cert
    # Đừng sử dụng chúng trong máy chủ sản xuất!
    #
    # bao gồm đoạn trích/snakeoil.conf;

    gốc/var/www/html;

    # Thêm index.php vào danh sách nếu bạn đang sử dụng PHP
    chỉ mục index.html index.htm index.nginx-debian.html;

    tên máy chủ _;

    địa điểm / {
        # Lần đầu tiên cố gắng phục vụ yêu cầu dưới dạng tệp, sau đó
        # làm thư mục, sau đó quay lại hiển thị lỗi 404.
        try_files $uri $uri/ =404;
    }

    # truyền tập lệnh PHP tới máy chủ FastCGI
    #
    #vị trí ~ \.php$ {
    # bao gồm đoạn trích/fastcgi-php.conf;
    #
    # # Với php-fpm (hoặc các ổ cắm unix khác):
    # fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
    # # Với php-cgi (hoặc các ổ cắm tcp khác):
    # fastcgi_pass 127.0.0.1:9000;
    #}

    # từ chối quyền truy cập vào tệp .htaccess, nếu tài liệu gốc của Apache
    # đồng tình với nginx
    #
    #vị trí ~ /\.ht {
    #   Phủ nhận tất cả;
    #}
}

netstat -putan đầu ra

(Không phải tất cả các quy trình đều có thể được xác định, thông tin quy trình không thuộc sở hữu
 sẽ không được hiển thị, bạn sẽ phải root để xem tất cả.)
Kết nối Internet đang hoạt động (máy chủ và thiết lập)
Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái PID/Tên chương trình
tcp 0 0 127.0.0.53:53 0.0.0.0:* NGHE -
tcp 0 0 0.0.0.0:22 0.0.0.0:* NGHE -
tcp 0 0 0.0.0.0:111 0.0.0.0:* NGHE -
tcp 0 0 0.0.0.0:80 0.0.0.0:* NGHE -
tcp 0 36 10.0.0.61:22 176.115.102.236:47199 ĐÃ THÀNH LẬP -
tcp 0 0 10.0.0.61:37594 91.189.91.121:80 TIME_WAIT -
tcp6 0 0 :::22 :::* NGHE -
tcp6 0 0 :::111 :::* NGHE -
udp 0 0 127.0.0.53:53 0.0.0.0:* -
udp 0 0 10.0.0.61:68 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* -
udp6 0 0 :::111 :::* -
183
1 + 8
Alex avatar
lá cờ in
Alex
có iptables/tường lửa nào đang chạy không?
0
Hồi đáp
Artem Ilchenko avatar
lá cờ mc
Artem Ilchenko
@Alex có vẻ như không `sudo ufw status dài dòng` -> `Trạng thái: không hoạt động` `sudo iptables -nL | grep 80` -> `CHẤP NHẬN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ctstate MỚI, ĐÃ THÀNH LẬP CHẤP NHẬN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 ctstate ĐÃ THÀNH LẬP`
0
Hồi đáp
Alex avatar
lá cờ in
Alex
netstat -putan nói gì
0
Hồi đáp
Michael Hampton avatar
lá cờ cz
Michael Hampton
Vui lòng đăng đầu ra của `nginx -T`
0
Hồi đáp
Artem Ilchenko avatar
lá cờ mc
Artem Ilchenko
@Alex được cập nhật trong câu hỏi
0
Hồi đáp
Artem Ilchenko avatar
lá cờ mc
Artem Ilchenko
@MichaelHampton được cập nhật trong câu hỏi
0
Hồi đáp
Alex avatar
lá cờ in
Alex
tạm thời xóa iptables, vì vậy đây không phải là cách khắc phục sự cố và xem liệu chúng có phải là sự cố không. Nếu không, bạn có thể lãng phí rất nhiều thời gian cho một số cấu hình sai tường lửa rõ ràng
1
Hồi đáp
Artem Ilchenko avatar
lá cờ mc
Artem Ilchenko
@Alex yeah, bạn nói đúng, nó đã giúp cảm ơn rất nhiều
0
Hồi đáp
Điểm:1
Alex avatar Server
lá cờ in
Alex

Thêm điều này để nhận biết nếu ai đó googles điều này. Điều này có thể là do tường lửa đang chạy. Xóa iptables/firewalld/ufw và xem sự cố vẫn tiếp diễn.

0 + 1
Artem Ilchenko avatar
lá cờ mc
Artem Ilchenko
vì vậy nếu `tcpdump` hiển thị lưu lượng cổng thì tường lửa vẫn có thể lọc được
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.