Регистрация Войти
Рейтинг:3
daylyroppo3 avatar Server

Преобразованная страница SSL недоступна в Интернете

флаг id
daylyroppo3

Моя веб-страница размещена на AWS, и она была преобразована в SSL.

Я вижу страницу со своего компьютера и смартфона в домашней сети и зоне Wi-Fi. Но извне (например, доступ к веб-сайту со смартфона снаружи) страница недоступна.

Поэтому я проверил группу безопасности и номер порта.

Правила входящего трафика приведены ниже.

Входящие правила

Согласно руководству, на которое я ссылался, все в порядке, но если что-то не так, пожалуйста, дайте мне знать.

Вот результат команды telnet на порту 443 введите описание изображения здесь Жаль, что написано на японском. Пишет, что не удалось подключиться к хосту. Порт № 443: не удалось подключиться.

Означает ли это, что порт 443 закрыт??

Я пробовал iptables -L -v -n ниже

iptables -L -v -n не могу понять смысл...

Результат curl для IP-адреса AWS: curl -k -vv https:// введите описание изображения здесь

Кажется, это не работает.

Результат tcpdump -nni любой порт 443 введите описание изображения здесь

Маршрут 53 введите описание изображения здесь

Деталь балансировщика нагрузки балансировщик нагрузки1 балансировщик нагрузки2 балансировщик нагрузки Слушатели Можете ли вы разобраться в информации сверху? Если вам нужна другая информация, пожалуйста, дайте мне знать.

Целевая группа Целевая группа Целевая группа Целевая группа Я вижу что-то нездоровое выше. введите описание изображения здесь Целевая группа не настроена на получение трафика от балансировщика нагрузки

введите описание изображения здесь

И, возможно, есть другие точки, которые мне нужно проверить, поэтому, если вам нужно увидеть другую точку, Пожалуйста, дайте мне знать, я обновлю детали.

Спасибо.

429
1 + 8
Ajay Singh avatar
флаг us
Ajay Singh
Тогда это может означать множество вещей, таких как системный брандмауэр, такой как iptables, неправильная конфигурация сервера и т. Д. Проверьте, что показывают проверки aws. Попробуйте подключиться к этим IP-адресам с помощью команды telnet на портах 80 и 443. Проверьте, правильно ли настроен DNS. Также я бы предложил разместить информацию в том же вопросе, отредактировав вопрос.
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
@Ajay Singh Я попробовал команду telnet на портах 80 и 443. Результат загружен в вопросе, порт 80 в порядке, а 443 - нет. Что я должен проверить дальше? Пожалуйста, дайте мне ваш совет еще раз.
0
Ответить
Ajay Singh avatar
флаг us
Ajay Singh
Вы используете этот ip 3.129.28.206 в качестве балансировщика нагрузки? Если да, записи DNS A домена, упомянутого вами в другом вопросе, указывают на два других IP-адреса в блоке 18.116. Проверьте брандмауэр IP, такой как группы безопасности iptables и aws, для всех трех вычислений, а также проверьте, какая группа подключена к экземплярам.Также проверьте, правильно ли настроен ssl балансировщика нагрузки, так как порт 80 работает.
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
@Ajay Singh Да, я использую балансировщик нагрузки. Я загрузил другую информацию. Я скоро загружу другие снова.
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
@Ajay Я загрузил информацию о балансировщике нагрузки, если вам нужна дополнительная информация, дайте мне знать. Спасибо.
0
Ответить
Ajay Singh avatar
флаг us
Ajay Singh
Первое изображение — это группа безопасности, отличная от той, которая подключена к балансировщику нагрузки. Вы проверяли, открыта ли 443 в конфигурации «..wizard-2»?
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
@Ajay Извините, я не понимаю смысла конфигурации '..wizard-2'... Я обновил изображение «Целевая группа», оно говорит о нездоровом, что это значит?
0
Ответить
Ajay Singh avatar
флаг us
Ajay Singh
Давайте [продолжим это обсуждение в чате](https://chat.stackexchange.com/rooms/127889/discussion-between-ajay-singh-and-daylyroppo3).
0
Ответить
Рейтинг:6
A. Darwin avatar Server
флаг my
A. Darwin

  • Попробуйте зайти на IP-адрес AWS: curl -k -vv https://<ваш aws ip>.

  • Если это работает, попробуйте то же самое, используя имя хоста. Если на этот раз это не сработает, это проблема DNS.

  • Проверьте, есть ли внутри виртуальной машины брандмауэр. Например: iptables -L -v -n. У вас могут быть некоторые правила брандмауэра, запрещающие большинству IP-адресов доступ к вашему веб-серверу.

  • Проверьте, есть ли ACL на самом веб-сервере. Веб-серверы можно настроить так, чтобы они игнорировали запросы, поступающие с определенных IP-адресов. Если вы используете Apache, проверьте Требовать строки в вашей конфигурации.

Как правило, вы можете запустить tcpdump -nni любой порт 443 на сервере (возможно, вам придется установить tcpdump) и повторите тест. Tcpdump в основном собирает и отображает фактические задействованные пакеты, поэтому, если вы попытаетесь, и некоторые пакеты достигнут сервера через порт 443, это означает, что ничто за пределами виртуальной машины не заблокировало его, и проблема, вероятно, связана с сервером. Если, с другой стороны, вы не видите никакого пакета, это означает, что что-то еще блокирует доступ к веб-серверу.

РЕДАКТИРОВАТЬ

Если у вас есть балансировщик нагрузки, убедитесь, что он правильно указывает на порт 443 внутренних серверов. В противном случае трафик, достигающий балансировщика нагрузки, может быть перенаправлен на другой порт (80?), где HTTPS не поддерживается, что может «разорвать» ваше соединение.

0 + 5
daylyroppo3 avatar
флаг id
daylyroppo3
Спасибо за совет. `завиток -k -vv https://` не работает, значит проблема в DNS. Результат `iptables -L -v -n` обновлен по моему вопросу. Вроде правил брандмауэра нет. Результат `tcpdump -nni любой порт 443`: tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола прослушивание на любом, ссылка типа LINUX_SLL (линукс сваренный), размер захвата 262144 байт Имеет ли это смысл?
0
Ответить
A. Darwin avatar
флаг my
A. Darwin
@daylyroppo3 Daylyroppo3 Просто для ясности: если curl с IP не работает, это *не* проблема с DNS. Это была бы проблема DNS, если бы curl + IP удалось, а curl + имя хоста - нет, но это не ваш случай. Похоже, что HTTPS-пакеты извне не доходят до вашей виртуальной машины. В другом комментарии вы сказали, что у вас есть балансировщик нагрузки. Может возникнуть проблема между балансировщиком нагрузки и вашей виртуальной машиной на порту 443. Пожалуйста, обновите свой вопрос, указав подробную информацию о настройке балансировщика нагрузки.
1
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
Я загрузил информацию о балансировщике нагрузки, если вам нужна дополнительная информация, дайте мне знать. Спасибо.
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
Не могли бы вы научить меня, как убедиться, что балансировщик нагрузки правильно указывает на порт 443 внутреннего сервера?? извините, я полный новичок.
0
Ответить
daylyroppo3 avatar
флаг id
daylyroppo3
Я обновил изображение «Целевая группа», оно говорит о нездоровом, что это значит?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.