undine
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
https://docs.cloud.oracle.com/en-us/iaas/developer-tutorials/tutorials/apache-on-ubuntu/01oci-ubuntu-apache-summary.htm Hallo Users, hallo, warum ist mein installierter Apache2 Webserver anfänglichst nicht erreichbar? | # Installing LAMP-Stack
apt install lamp-server^
|
Der Server ist aktiv systemctl status apache2.service
● apache2.service - The Apache HTTP Server
Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2020-08-09 09:56:46 UTC; 1min 46s ago
Docs: https://httpd.apache.org/docs/2.4/
Erst nach | iptables -I INPUT 6 -m state --state NEW -p tcp --dport 80 -j ACCEPT
netfilter-persistent save
|
kann ich meine Apache2 Webserver mit dem Internetbrowser erreichen. http://IP-Adresse/ Was muss ich tun, damit der Apache2 Webserver nur sicher über https://IP-Adresse/ zu erreichen ist? Greetz undine Bearbeitet von rklm: Wort im Titel korrigiert, Syntaxhighlighting
|
Doc_Symbiosis
Anmeldungsdatum: 11. Oktober 2006
Beiträge: 4390
Wohnort: Göttingen
|
Da musst Du ein Redirect einrichten, wie z.B. hier erklärt.
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
Hast Du auch Antworten auf meine anderen Fragen?
|
Doc_Symbiosis
Anmeldungsdatum: 11. Oktober 2006
Beiträge: 4390
Wohnort: Göttingen
|
Hm, ich kenne mich mit iptables leider nicht so wirklichaus, aber wenn deine Regel für Port 80 soweit richtig ist, dann sollte ja dies hier gehen:
iptables -I INPUT 6 -m state --state NEW -p tcp --dport 443 -j ACCEPT
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: Der Server ist aktiv
Erst nach iptables -I INPUT 6 -m state --state NEW -p tcp --dport 80 -j ACCEPT
netfilter-persistent save kann ich meine Apache2 Webserver mit dem Internetbrowser erreichen.
Wie ist die Ausgabe von:
sudo iptables -nvx -L INPUT
?
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
iptables -I INPUT 6 -m state --state NEW -p tcp --dport 443 -j ACCEPT getan Ausgabe: iptables -nvx -L INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
5883 3882109 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
276 28504 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
3 180 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
86 5160 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
20 812 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
Die Zähler dieser Regel sind auf "0". D. h. kein Zugriff (mit dem syn-flag) bis jetzt. Wird auf dem Port 443 gelauscht? Wie ist die Ausgabe von:
sudo netstat -tlpena | grep -i 443
?
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
sudo netstat -tlpena | grep -i 443
sudo: netstat: command not found
Nachdem ich folgendes getan habe ## Let's Encrypt SSL Zertifikat ##
apt install certbot python3-certbot-apache
certbot --apache -m master@domain.com -d cloud.domain.com
komme nicht mehr auf den Webserver.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: sudo: netstat: command not found
apt-cache policy net-tools lsof
?
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
apt-cache policy net-tools lsof
net-tools:
Installed: (none)
Candidate: 1.60+git20180626.aebd88e-1ubuntu1
Version table:
1.60+git20180626.aebd88e-1ubuntu1 500
500 http://eu-frankfurt-1-ad-3.clouds.archive.ubuntu.com/ubuntu focal/main amd64 Packages
lsof:
Installed: 4.93.2+dfsg-1
Candidate: 4.93.2+dfsg-1
Version table:
*** 4.93.2+dfsg-1 500
500 http://eu-frankfurt-1-ad-3.clouds.archive.ubuntu.com/ubuntu focal/main amd64 Packages
100 /var/lib/dpkg/status
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: lsof:
Installed: 4.93.2+dfsg-1
OK, dann mit:
ss -t -a | grep -i 443
oder mit:
sudo lsof -nPi | grep -i 443
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
Beachte, es ist ein Virtual Cloud Network (VCN) eingebunden. sudo lsof -nPi | grep -i 443
apache2 887 root 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
updater 972 snap_daemon 8u IPv4 25262 0t0 TCP 10.0.0.14:47232->geändert2:443 (CLOSE_WAIT)
monitorin 1054 snap_daemon 13u IPv4 29593 0t0 TCP 10.0.0.14:47538->geändert2:443 (CLOSE_WAIT)
apache2 1773 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1774 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1775 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1776 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1777 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1785 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1786 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
Irgendwie habe ich mich jetzt vollends ausgesperrt.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: sudo lsof -nPi | grep -i 443
apache2 887 root 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1773 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1774 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1775 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1776 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1777 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1785 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
apache2 1786 www-data 6u IPv6 23153 0t0 TCP *:443 (LISTEN)
Teste mal mit einem v4-Portscan und tcpdump, ob der Port 443 auch per IPv4 erreicht werden kann.
|
undine
(Themenstarter)
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3314
|
Zur Zeit weiß ich nicht wie ich das konkret machen soll. @lubux
Danke, dass Du mich meiner annimmst.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
undine schrieb: Zur Zeit weiß ich nicht wie ich das konkret machen soll.
Auf dem Server:
sudo tcpdump -c 50 -vvveni any dst port 443
Im (W)LAN:
nc -zv <richtige-IPv4-Adresse> 443
(IPv4-Adresse anpassen und ohne spitze Klammern). Statt nc kann man auch nmap (oder gleichwertig, je nach OS) mit der richtigen Syntax, für den Portscan verwenden.
|