Dec 27, 2018, updated at 17:07:06 (UTC)

2126

Port Problem mit Debian 8

Hallo Administraror-User.
Ich fesuche schon seit einiger zeit den Port 80 (HTTP) und den Port 443 (HTTPS) auf eine Debian 8.11 freizuschalten. Alle nodwenigen schreite für eine freigabe an den Ruter haber ich schon erledigt. Auch dei Freigabe über iptables und ufw sind gemacht

Bilder von Ruter einstellungen:

ufw:

 ufw status
Status: active

To                         Action      From
--                         ------      ----
80                         ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443                        ALLOW       Anywhere
80                         ALLOW       Anywhere (v6)
443                        ALLOW       Anywhere (v6)

iptables:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 5353
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 4000
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10000
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-after-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-input (1 references)
target     prot opt source               destination         
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:137
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:138
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:139
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68
ufw-skip-to-policy-input  all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination         
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "  

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-after-output (1 references)
target     prot opt source               destination         

Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ufw-user-forward  all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
ufw-not-local  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251          udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            239.255.255.250      udp dpt:1900
ufw-user-input  all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ufw-user-output  all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-logging-allow (0 references)
target     prot opt source               destination         
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "  

Chain ufw-logging-deny (2 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            state INVALID limit: avg 3/min burst 10
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "  

Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-reject-forward (1 references)
target     prot opt source               destination         

Chain ufw-reject-input (1 references)
target     prot opt source               destination         

Chain ufw-reject-output (1 references)
target     prot opt source               destination         

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-track-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW

Chain ufw-track-output (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW

Chain ufw-user-forward (1 references)
target     prot opt source               destination         

Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:443

Chain ufw-user-limit (0 references)
target     prot opt source               destination         
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "  
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination         

Chain ufw-user-output (1 references)
target     prot opt source               destination         

Diese Recher/Server soll über eine Domain ereichbar sein. Das die Ferbindung besteht und keine fehler im Roter ist beweist der zugan über eine Pi der eine Leivbild übertägt. Die Domain heist http://philipp-lindner-server.p7.de

Fehlermedung die ich bekommen heist: "Connection timed out-110"
Wo habe ich Hier meine Denkfehler. Vielen Dank in vorraus

Please also mark the comments that contributed to the solution of the article

Content-Key: 396792

Url: https://administrator.de/contentid/396792

Printed on: April 16, 2024 at 08:04 o'clock

20 Comments

Latest comment

Hallo,

normalerweise bin ich ja nicht pingelig was die Rechtschreibung und Grammatik angeht aber eventuell solltest du dir mehr Zeit lassen beim Tippen und ggf. nochmal drüberschauen. Aber manche Sätze verstehe ich einfach nicht. Sorry

Zum eigentlichen Thema: du solltest uns erstmals dein Aufbau erklären. Wie ich sehe hast du zwei Router. Die Fritte stellt vermutlich die Verbindung zum Provider her. Dadurch, dass du Port Forwarding auf deinem zweiten Router eingerichtet hast, vermute ich mal, dass dieser ebenso wie die Fritte NAT macht? Hat das doppelte NAT einen bestimmten Grund? Wieso nicht den zweiten einfach Routen lassen?

Die Firewall Regeln auf deiner Debian Kiste passen, auch wenn dein Regelwerk sehr komisch ist.
UFW ist übrigens nur ein Tool, mit denen du das iptables Regelwerk einfacher verwalten kannst, also ist dasselbe.

Viele Grüße,
Exception

Hallo Exception,
Schuldigung für die schechte Vormulirung meine Frage.

zum aufbau meines Systems:

Meine haubtruter ist die Fritzbox sie hat die aufgabe mir das Telefon, Internet und eine parr Smarthome Geäte (infom von Stekdosen) zu steuern. Dieser Ruter schikt auch die Externe IPv4 zu den Domain Server. Der 2. Ruter ist für alle Localen LAN und WLAN Geräte zuständig. Der Server hat aber zu beiten Rutern eine LAN Verbindung, der gedanke für die 2 verbindungen ist eine art Redundanz aufzubauen.

Viele Grüße,
Philipp Lindner

Moin,

ist die Seite denn überhaupt lokal erreichbar. Es wäre mir neu, daß man in einer default-debian-installation die Firewall freischalten muß, um den apache (oder einen anderen Webserver) zu erreichen.

lks

PS: Wenn Du Freifunker bist, solltest Du schon den Unterschied zwischen Router und Ruter kennen und auch diverse englischen Begriffe richtiger schreiben können. Ich bin der letzte, der normalerweise wegen Rechtschreibung meckert, weil ich selber oft Tippfehler mache, aber Dein Text ist wirklich schwer zu lesen. Tippfehler kann man übrigens mit der Bearbeiten-Funktion beheben.

Nachtrag: nmap sagt:

Not shown: 994 filtered ports
PORT     STATE  SERVICE
5060/tcp closed sip
5061/tcp closed sip-tls
8000/tcp closed http-alt
8080/tcp open   http-proxy
8082/tcp closed blackice-alerts
8089/tcp open   unknown

Moin...

Liebe User von Administrator.de, wenn ihr mal auf das Profil von dem TO geht, und euch philipp-lindner.de genau anschaut, werdet ihr schnell merken, das ist dort genauso mit den Tippfehlern!
da es wohl warscheinlich ein Medizinisches problem ist, sollten wir uns deswegen nicht weiter auslassen...ich Persönlich kann das Problem sehr gut nachvollziehen!

Danke

Frank

@Lochkartenstanzer: Ja die Seite ist Local zu ereichen. Ich Verstehe es ja selbst nicht. Normalerweise ist ja nur eine Weiterleitung / Freigabe im Ruter erforderlich.
@Vision2015: danke für die aufheidernden worten machen Leute kenn den Begriff LRS (Lese Rechtschreib Schweche) nicht.

Zitat von @philipplindner-network-meda:

@Lochkartenstanzer: Ja die Seite ist Local zu ereichen. Ich Verstehe es ja selbst nicht. Normalerweise ist ja nur eine Weiterleitung / Freigabe im Ruter erforderlich.

richtig...

@Vision2015: danke für die aufheidernden worten machen Leute kenn den Begriff LRS (Lese Rechtschreib Schweche) nicht.

ich kann das gut nachvollziehen, und erkenne sowas sehr schnell, da ich ende 2015 drei SAB´s hatte, und genug Menschen kennengelernt habe in der Reha mit LRS...

Frank

Hast Du mit wireschark oder tcpdump mal geschaut, ob überhaupt etwas am debian ankommt? Ggf. mit dem Paketmitschnitt auf der Fritzbox prüfen, wie weit die Pakete kommen.

@Vision2015: danke für die aufheidernden worten machen Leute kenn den Begriff LRS (Lese Rechtschreib Schweche) nicht.

Was LRS ist, weiß ich, kenne aber keinen Betroffenen persönlich, der davon betroffen ist, so daß ich es nicht beurteilen kann, ob Schreibfehler dem LRS oder der Faulheit der Schreiber zuzuordnen sind. Das macht es leider nicht einfacher, Deine Texte zu lesen. Aber wie dem auch sei, wir versuchen dir trotzdem zu helfen.

lks

Nachtarag zu meine Localen Netzwerk:

Zitat von @philipplindner-network-meda:

Nachtarag zu meine Localen Netzwerk:

Über welches Interface bedient denn Dein Server die Requests? Und warum hängt der Server an beiden Routern?

lks

moin..

Über welches Interface bedient denn Dein Server die Requests? Und warum hängt der Server an beiden Routern?

das frage ich mich auch...
ich vermute allerdings einen Fehler in der Zeichnung, und denke eher das mit dem Router2 eine Redundanz geschaffen werden sollte, mit einem weitern DSL Port....

Frank

Moin

Zitat von @Lochkartenstanzer:

Hast Du mit wireschark oder tcpdump mal geschaut, ob überhaupt etwas am debian ankommt? Ggf. mit dem Paketmitschnitt auf der Fritzbox prüfen, wie weit die Pakete kommen.

@Vision2015: danke für die aufheidernden worten machen Leute kenn den Begriff LRS (Lese Rechtschreib Schweche) nicht.

doch, du kennst mich.... jetzt nicht persönlich.... aber immerhin

Das macht es leider nicht einfacher, Deine Texte zu lesen.

das ist wohl wahr...

Aber wie dem auch sei, wir versuchen dir trotzdem zu helfen.

lks

Frank

Guten Abend,

Liebe User von Administrator.de, wenn ihr mal auf das Profil von dem TO geht, und euch philipp-lindner.de genau anschaut, werdet ihr schnell merken, das ist dort genauso mit den Tippfehlern!
da es wohl warscheinlich ein Medizinisches problem ist, sollten wir uns deswegen nicht weiter auslassen...ich Persönlich kann das Problem sehr gut nachvollziehen!

das war nur ein kleiner Hinweis. War nicht bösartig gemeint. Ich kenne halt sehr viele Leute, die aufgrund ihrer Smartphones ganz schnell irgendwelche Texte abliefern ohne selbst nochmal kurz den Text anzuschauen, sodass der Empfänger nur über den Sinn des Satzes Rätseln darf. Auch hier im Administrator.de schon sehr viele Fälle gesehen.

@philipplindner-network-meda dass du LSR hast konnte ich nich wissen. Hab nicht so viel Zeit wie @Vision2015 um große User Analyse zu betreiben bevor ich hier was poste. :p

Aber nun genug OT.

Dieser Ruter schikt auch die Externe IPv4 zu den Domain Server.

Diesen Satz musst du uns nochmal erklären.
Mit Domain Server meinst du ein Domain Controller?
Und dieser hat eine öffentliche IP?

Meine haubtruter ist die Fritzbox sie hat die aufgabe mir das Telefon, Internet und eine parr Smarthome Geäte (infom von Stekdosen) zu steuern. Der 2. Ruter ist für alle Localen LAN und WLAN Geräte zuständig. Der Server hat aber zu beiten Rutern eine LAN Verbindung, der gedanke für die 2 verbindungen ist eine art Redundanz aufzubauen.

Wenn ich dich richtig verstanden habe, dann stellen beide Router eine Verbindung zu einem Provider bereit, d.h. beide Router haben eine öffentliche IP und betreiben daher auch NAT. Du möchtest eine Redundanz des Servers haben, indem du den Server in beide Netze der jeweiligen Router hinzufügst und anschließend Port Forwarding bei beiden Router einrichtest. Hab ich dich damit korrekt wiedergegeben?

Edit: Da war ich wohl deutlich zu langsam mit Tippen :D

Viele Grüße,
Exception

Der witz an der gansen sache ist, voherher get es und nach eine Neuaufsetzen ders Servers get das Ganze nicht mehr. Der server ist eimal über eien gans Normales Netzwerk schitschelle mit eine LAN Kabel Angeschlaossen. die 2. Leitung über eine USB LAN Interfase auch über eine LAN Kabel angeschlaossen beite Ruter haben Unterschiliche IPv4 Adressen.

Zitat von @philipplindner-network-meda:

Der witz an der gansen sache ist, voherher get es und nach eine Neuaufsetzen ders Servers get das Ganze nicht mehr.

Hast Du ein Backup des vorherigen Systems? Dann könnte man dort die Config nachschauen.

Stimmen die Routen?

Hast Du eine Routerkaskade oder zwei unabhängige DSL-Anschlüsse?

beite Ruter haben Unterschiliche IPv4 Adressen.

Das ist normal, daß beide unterschiedluche IP-Adressen haben sonst würde TCP/IP nicht funktionieren.

Die wesentliche Frage ist also: Über welchen Router kommmen die Pakete rein? Auf dem Server muß dann das default gateway passend gesetzt werden.

lks

Es stellet nur eine Router eine Verbindung zu meine Provider her. Der 2. Router hat keinelei verbindung zum Provider. Es exestirt nur 1 öffenliche IP.

so weite ich was konnte ich via "iftop" eine verbindung vsetsellen. Mir komt es blos vor als hätte apache2 keine lusr nach ausen zu schrechen.

moin..

Zitat von @129580:

Guten Abend,

natürlich hast du das nicht bösartig gemeint, das habe ich schon verstanden, nur ufert sowas immer gerne mal aus...

das wollte ich nur verhindern!
aber grundsätzlich hast du ja recht!

@philipplindner-network-meda dass du LSR hast konnte ich nich wissen. Hab nicht so viel Zeit wie @Vision2015 um große User Analyse zu betreiben bevor ich hier was poste. :p

Aber nun genug OT.

Dieser Ruter schikt auch die Externe IPv4 zu den Domain Server.

Diesen Satz musst du uns nochmal erklären.
Mit Domain Server meinst du ein Domain Controller?
Und dieser hat eine öffentliche IP?

Zitat von @philipplindner-network-meda:

Es stellet nur eine Router eine Verbindung zu meine Provider her. Der 2. Router hat keinelei verbindung zum Provider. Es exestirt nur 1 öffenliche IP.

so weite ich was konnte ich via "iftop" eine verbindung vsetsellen. Mir komt es blos vor als hätte apache2 keine lusr nach ausen zu schrechen.

sorry, wie meinen....?
schreib das bitte noch mal, auch wenn es mühe kostet!

Frank

Die Frizbox mach eine verbindung zu meine Proviter, allso nur eine Öffenlich IP. Der TP-Link ist nur Lokal und stelte meine Lokalen Geräten das internet von der Fritzbox zu ferügung.

soll ich es eich lieber in bildern zeigen? sonst weis ich nicht wie ich mich sonst ausdrüken soll.

so ich habe Wireshark auf den Server Losgesessen, kent jeman eine Gute auswertungstool ich sehe da nicht durch bei den Mitgeschribenen datensetzen für mich sieht das io aus.

eine andere frage wie kann ich die iptables dauerhaft auschalten?

wohlt ihr den Mitschit von Wireshark sehen?
Mitschit via Wireshark

German Question Debian Linux