У меня проблема с гостем, использующим virsh за сервером, работающим с брандмауэром iptables. Этот гость размещает веб-сайты, один из которых имеет обратный прокси-сервер.
Все работает хорошо. Затем я установил сотрудничество онлайн 1: https://www.collaboraoffice.com/code/. Очень круто открывать документы, и у них есть плагин для самого важного
Я протестировал этот плагин с удаленного сервера, на котором также работает Mattermost, который обращается к этому локальному блоку за моими iptables, и он работает отлично. Однако, когда я тестирую этот плагин с самого гостевого локального сервера, за iptables, так что в основном NAT, он не может найти себя. У меня истекает время ожидания.
Итак, мой гость за iptables, с правильной настройкой правил для передачи трафика, содержит наиболее важный и CollaboraOnline, но если я укажу общедоступный URL-адрес от наиболее важного для получения CollaboraOnline, оба локальных хоста не смогут найти друг друга. Не могу сделать в плагине localhost:9980 или 127.0.0.1:9980 (там где CollaboraOnline), не нравится порт в адресе...
Если я скручиваюсь https://CollaboraOnline.domain.ca Я вижу, что время истекло.
Если я отредактирую файл /etc/hosts на локальном сервере, чтобы 127.0.0.1 CollaboraOnline.domain.ca, тогда curl работает, Mattermost-plugin находит CollaboraOnline, но все равно не работает, потому что я получаю такую ошибку проверки типа SSL.
AH02032: имя хоста, предоставленное через SNI, и имя хоста, предоставленное через HTTP, не имеют совместимой настройки SSL, как обойти
Так что теперь у меня заканчиваются яркие идеи. У меня есть другой публичный ящик не за виршем с iptables, если я делаю завиток на один его локалхост, то все нормально. Это только наводит меня на мысль, что iptables может понадобиться правило, чтобы мой гость, работающий с Mattermost и CollaboraOnline, мог вернуться к самому себе при запросе общедоступного URL-адреса, который он обслуживает сам?!?
Кто-нибудь знает об этом?
Моя гостевая виртуальная машина — 192.168.122.126, а мой родительский сервер, на котором размещены гости Vrish и iptables, — 192.168.122.1.
Вот правила iptables (удалены некоторые помехи, такие как fail2ban)
iptables -L
Сеть FORWARD (политика ACCEPT)
целевая защита выбор источника назначения
ПРИНИМАТЬ все -- где угодно 192.168.122.126 состояние НОВОЕ, СВЯЗАННОЕ, УСТАНОВЛЕННОЕ
ПРИНИМАТЬ все -- где угодно 192.168.122.0/24 ctstate СВЯЗАННО, УСТАНОВЛЕНО
ПРИНИМАТЬ все -- 192.168.122.0/24 где угодно
ПРИНИМАТЬ все -- в любом месте в любом месте
REJECT all -- везде, где угодно
REJECT all -- везде, где угодно
iptables -L -t физ
Цепь PREROUTING (политика ПРИНЯТЬ)
целевая защита выбор источника назначения
DNAT tcp -- где угодно 148.59.149.79 tcp dpt:9980 to:192.168.122.126:9980
DNAT tcp -- везде 148.59.149.79 tcp dpt:12000 to:192.168.122.126:12000
DNAT tcp -- везде 148.59.149.79 tcp dpt:11000 to:192.168.122.126:11000
DNAT tcp -- везде 148.59.149.79 tcp dpt:submission to:192.168.122.126:587
DNAT tcp -- везде 148.59.149.79 tcp dpt:imap2 to:192.168.122.126:143
DNAT tcp -- где угодно 148.59.149.79 tcp dpt:smtp to:192.168.122.126:25
DNAT tcp -- везде 148.59.149.79 tcp dpt:webmin to:192.168.122.126:10000
DNAT tcp -- везде 148.59.149.79 tcp dpt:4443 to:192.168.122.126:4443
DNAT udp -- где угодно 148.59.149.79 udp dpt:10000 to:192.168.122.126:10000
DNAT tcp -- где угодно 148.59.149.79 tcp dpt:http to:192.168.122.126:80
DNAT tcp -- везде 148.59.149.79 tcp dpt:https to:192.168.122.126:443
