Регистрация Войти
Рейтинг:0
Rafael Emshoff avatar Server

SSH работает, пинг и https не отвечают

флаг cn
Rafael Emshoff

Задний план: Я пытаюсь настроить сервер Ubuntu для запуска приложения node.js с https. Раньше у меня все нормально работало с http (настроил год назад), и я хотел открыть брандмауэр для: 443 и перенаправить его на: 8443:

sudo ufw разрешить 443/tcp
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

При проверке моего приложения выяснилось, что запрос https не зарегистрирован в приложении (ничего в журналах приложений, и браузер никогда не получает ответа на запрос). Когда я пингую сервер, я также не получаю ответа (даже не истекает время ожидания).На панели инструментов моего облачного провайдера также указано, что он не может пропинговать сервер, а в конфигурации брандмауэра облачного провайдера также указано, что 443 разрешено для всех TCP. ... Но я все еще могу подключиться к серверу по ssh без проблем.

Вопрос Как я могу устранить эту проблему? Насколько я могу судить

  • :443 разрешено в брандмауэре
  • :443 перенаправляет на:8443
  • узел слушает: 8443
    статус sudo ufw
    К действию от
    -- ------ ----
    80/tcp РАЗРЕШИТЬ ВСЕГДА                  
    443/tcp РАЗРЕШИТЬ ВСЕГДА                  
    80/tcp (v6) РАЗРЕШИТЬ везде (v6)             
    443/tcp (v6) РАЗРЕШИТЬ везде (v6)


    sudo iptables -t nat -L -n -v
    Цепочка PREROUTING (политика ACCEPT 9477 пакетов, 1121К байт)
    pkts bytes target prot opt ​​in out source target         
    1413K 59M ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 портов перенаправления 8080
        0 0 ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 перенаправить порты 8080
        0 0 ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 перенаправить порты 8080
        0 0 ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 перенаправить порты 8080
        0 0 ПЕРЕНАПРАВЛЕНИЕ tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 перенаправление портов 8080
        0 0 ПЕРЕНАПРАВЛЕНИЕ tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 перенаправление портов 8443

    Цепочка INPUT (политика ACCEPT 6826 пакетов, 410К байт)
     pkts bytes target prot opt ​​in out source target         

    Цепочка OUTPUT (политика ACCEPT 74 пакета, 6925 байт)
     pkts bytes target prot opt ​​in out source target         

    Цепочка POSTROUTING (политика ACCEPT 74 пакета, 6925 байт)
     pkts bytes target prot opt ​​in out source target


    судо netstat-ntlp
    Активные интернет-соединения (только серверы)
    Proto Recv-Q Send-Q Локальный адрес Внешний адрес Состояние PID/имя программы    
    TCP 0 0 127.0.0.53:53 0.0.0.0:* ПРОСЛУШАТЬ 108911/systemd-резо 
    TCP 0 0 0.0.0.0:22 0.0.0.0:* ПРОСЛУШАТЬ 112287/sshd         
    TCP 0 0 0.0.0.0:1022 0.0.0.0:* ПРОСЛУШАТЬ 125785/sshd         
    tcp6 0 0 :::22 :::* ПРОСЛУШАТЬ 112287/sshd         
    tcp6 0 0 :::8443 :::* ПРОСЛУШИВАТЬ 125414/узел         
    tcp6 0 0 :::1022 :::* ПРОСЛУШИВАТЬ 125785/sshd


судо iptables -L -nv
Цепочка INPUT (политика DROP 120 пакетов, 30108 байт)
 pkts bytes target prot opt ​​in out source target         
    0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:8443
    0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:8443
 381K 34M ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:8080
    0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:8443
  998 94467 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:8080
 8163 1107K ПРИНЯТЬ все -- вот * 0.0.0.0/0 0.0.0.0/0           
  54M 15G ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 состояние СВЯЗАННО,УСТАНОВЛЕНО
2892K 172M ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:22

Цепочка FORWARD (политика DROP 0 пакетов, 0 байт)
 pkts bytes target prot opt ​​in out source target         

Цепочка OUTPUT (политика ACCEPT 5873 пакетов, 874К байт)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-log-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-after-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-log-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-log-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-log-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-before-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-log-allow (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-log-deny (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Сеть ufw-not-local (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-reject-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-skip-to-policy-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-skip-to-policy-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-skip-to-policy-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-track-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-track-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-track-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         
    0 0 ПРИНЯТЬ TCP -- * * 0.0.0.0/0 0.0.0.0/0 TCP dpt:443

Цепочка ufw-user-limit (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-limit-accept (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-loging-forward (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-loging-input (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-log-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target         

Цепочка ufw-user-output (0 ссылок)
 pkts bytes target prot opt ​​in out source target
291
1 + 5
флаг jp
Dom
Пожалуйста, добавьте результат команды "iptables -L -nv". ICMP может быть заблокирован. Вы должны добавить журналы, когда пакет отброшен: это поможет диагностировать проблему.
0
Ответить
Rafael Emshoff avatar
флаг cn
Rafael Emshoff
Добавлен результат команды. Как мне «добавить журналы при отбрасывании пакета»? Это журналы брандмауэра? Я проверяю это для ICMP https://askubuntu.com/questions/6995/how-to-enable-ufw-firewall-to-allow-icmp-response
0
Ответить
Rafael Emshoff avatar
флаг cn
Rafael Emshoff
ICMP кажется включенным. `-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT`
0
Ответить
Rafael Emshoff avatar
флаг cn
Rafael Emshoff
Похожие вопросы: https://serverfault.com/questions/311612/ping-fails-but-ssh-succeeds https://serverfault.com/questions/392704/ssh-connection-refused-with-out-iptables-rulles?rq=1
0
Ответить
Martin avatar
флаг kz
Martin
Я бы изменил REDIRECT внутри вашего PREROUTING на DNAT: https://serverfault.com/questions/179200/difference-beetween-dnat-and-redirect-in-iptables
0
Ответить
Рейтинг:0
Michael Hampton avatar Server
флаг cz
Michael Hampton

Перезапустите ufw.

sudo systemctl перезапустить ufw

Ваши выходные данные iptables показывают, что большинство правил, добавленных ufw, отсутствуют. Это вызвано ручным сбросом таблиц (например, судо iptables-F), пока ufw все еще работает, что, конечно же, приведет к сбросу правил ufw и вызовет множество поломок, но случайные руководства в Интернете посоветуют вам это сделать.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.