Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Debian 8 - Probleme mit ÖFFENTLICHER IP in der DMZ

tschulian
in Netzwerke

Empfohlene Antworten

Veröffentlicht

Hallo Leute,  (Edit: verzeiht die rechtschreibung, bin zu aufgewühlt um ordentlich satzzeichen und groß/klein schreibung zu beachten... sry)

bislang hatten wir einen Windows Server 2003 der uns als Webserver mit 3 öffentlichen Telekom IPs unseres Company Connects diente.
Aufgrund der performance und ressourcen wurde der Server 2003 durch einen Debian 8 Webserver ersetzt. Umstieg verlief weitestgehend problemlos. Als ich das erste mal nach 2-3 Tagen dann apt-get update usw. ausführen wollte blieb er bei 0% hängen.

Ping nach außen -> nicht möglich.
apt-get update/upgrade -> nicht möglich

Ich hatte schon den verdacht es liegt an eth0:1 also an den zusätzlichen IPs. Diese hab ich rausgenommen, networking restart durchgeführt und schon ging ping und apt-get whatever wieder.
Nach einem shutdow -r now dann zu meinem Entsetzen ping und apt-get geht wieder nicht!

Ich bin wirklich am durchdrehen.
Zudem das Ding von außen tadellos erreichbar ist, aber er kann einfach nicht wirklich nach außen kommunizieren.
Der Webserver auf Port 80 ist mit 100% funktionalität von außen erreichbar, aber er selbst kann nicht nach außen kommunizieren.

An unsere Sophos Firewall liegt es nicht weil selbst wenn ich ANY ANY ANY ANY also wirklich alles freigeb (nachweißlich in den logs alles accepted) kann er nicht nach außen kommunizieren.

Hat jemand schonmal sowas gehabt?
Der server ist in einem vm-ware esx virtualisiert.

 

 

Screenshot_2.jpg

Hast du mal in der internen Firewall nachgeschaut ob Verbindungen nach aussen möglich sind? Und es gibt glaube ich 4 Dienste die parralel dazu au gestartet werden müssen. Ich hatte ein ähnliches Problem wo ich von Server kein Ping bekommen habe....

 

Siehe hier:

https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

 

die Dienste kann ich grade nicht finden aber ich wusste es gab 4... Wenn ich Sie finde sag ich dir bescheid vielleicht hilft das.

Bearbeitet von CrankyCrany
Ergänzung

Eigentlich brauchst Du nur den Gateway-Eintrag bei eth0 - ich nehme sowieso an, du hast nur eine Routingtabelle, dann gibt's nur ein Default Gateway für's System.
Die Post-Up und Pre-Down Regeln sind auch komplett sinnlos/redundant, da durch Netzmaske und Gateway vorherbestimmt.

 

Schau dir die Ausgaben von 'ip route' an. Mit 'ip route get 8.8.8.8' kannst Du z.B. sehen, welchen Weg Pakete an den Google DNS nehmen würden.

@CrankyCrany Nicht mitbekommen, dass der Windowsserver durch Linux ersetzt wurde? :)

    •

    Wenn er von außen erreichbar ist, dann tippe ich auf eine Regel in den iptables, die aktiviert ist, die intern gestartete Verbindungsversuche unterbindet.

     

    Mach mal ein "iptables -L". Das zeigt dir die Regeln an, die dort eingestellt sind.

    Zwischen apt-get update und ping muss es nicht zwangsläufig einen Zusammenhang geben, da hier unterschiedliche Protokolle zum Einsatz kommen. Kann also auch mehrere Ursachen zeitgleich haben. Apt-get Update wird per default meistens über das http Protokoll genutzt. Habt ihr eventuell einen http-Proxy im Netzwerk über den der http Traffic geschleust wird? Wenn du du den nicht zusätzlich konfigurierst wird apt-get update in dem Fall nicht funktionieren. Solche Proxy Server werden eigentlich recht häufig in Unternehmen eingesetzt, deshalb kann man Debian und Anderen Distros meistens schon bei der Installation dem Proxy Server bekanntgeben.

    Bearbeitet von Uhu

    Moment mal - Du hast einen Webserver und eine Sophos-Firewall und dieser Webserver besitzt öffentliche IP-Adressen? So scannt die Sophos den Verkehr ja gar nicht auf Angriffe...

    Vorschlag, gesetzt den Fall, dass ihr Webserver Protection lizenziert habt, was in der Total Protect-Lizenz inbegriffen ist:

    • Der Debian-Server wird an den/einen DMZ-Port der Sophos gehängt, wenn nicht schon geschehen
    • Der Debian-Server erhält mehrere private IPs aus dem DMZ-Netzwerk, auf denen die Webserver-Dienste lauschen; als Standardgateway dient natürlich die interne IP der Sophos auf ihrem DMZ-Port
    • Die Sophos bekommt die drei öffentlichen IPs auf ihrem externen Interface zusätzlich konfiguriert
    • In der Sophos wird die Webserver Protection aktiviert, so dass der Verkehr, der auf die drei öffentlichen IPs kommt, an die drei internen Webserver-IPs weitergeleitet, dabei aber auch gescannt wird - die Webserver Protection ist keine einfache Portweiterleitung, es wird der Verkehr von extern angenommen, gescannt, und wenn keine Bedrohungen gefunden wurden, wird von der Sophos eine neue Verbindung zum internen Webserver aufgebaut
    • Dann werden die Firewall-Regeln zwischen Internal und DMZ sowie DMZ und Internet konfiguriert, so dass man aus dem internen Netzwerk auf die Webserver zugreifen kann und der Debian-Server sein apt-get und was auch immer er noch braucht ins Internet machen darf.
    • 2 Wochen später...
    • Autor

    Also ich hatte jetzt ca. 7-10 Tage keinerlei Probleme mit dem Server.

    Heute als ich wieder auf den Thread gestoßen bin, hab ich spaßeshalber den Ping probiert und er geht wieder nicht. Der letzte Stand war, dass pro ETH ein eigener Gateway (aber selbe Adresse) eingetragen war. Als ich dann nurnoch ETH0 ein Gateway gegeben hatte, funktionierte alles.
    Jetzt wieder nichtmehr...


    Zu den ganzen Fragen:

    @Crash2001  IPtables werden nich verwendet.

    @Uhu an der Sophos liegt es nicht. Speziell für diesen Server hab ich schon ALLOW ALL Rules in beide richtungen erstellt....

     

    Screenshot_1.jpg

    Bearbeitet von tschulian

    • Autor
    Am 26.6.2016 um 12:39 schrieb Eye-Q:

    Moment mal - Du hast einen Webserver und eine Sophos-Firewall und dieser Webserver besitzt öffentliche IP-Adressen? So scannt die Sophos den Verkehr ja gar nicht auf Angriffe...

    Vorschlag, gesetzt den Fall, dass ihr Webserver Protection lizenziert habt, was in der Total Protect-Lizenz inbegriffen ist:

    • Der Debian-Server wird an den/einen DMZ-Port der Sophos gehängt, wenn nicht schon geschehen
    • Der Debian-Server erhält mehrere private IPs aus dem DMZ-Netzwerk, auf denen die Webserver-Dienste lauschen; als Standardgateway dient natürlich die interne IP der Sophos auf ihrem DMZ-Port
    • Die Sophos bekommt die drei öffentlichen IPs auf ihrem externen Interface zusätzlich konfiguriert
    • In der Sophos wird die Webserver Protection aktiviert, so dass der Verkehr, der auf die drei öffentlichen IPs kommt, an die drei internen Webserver-IPs weitergeleitet, dabei aber auch gescannt wird - die Webserver Protection ist keine einfache Portweiterleitung, es wird der Verkehr von extern angenommen, gescannt, und wenn keine Bedrohungen gefunden wurden, wird von der Sophos eine neue Verbindung zum internen Webserver aufgebaut
    • Dann werden die Firewall-Regeln zwischen Internal und DMZ sowie DMZ und Internet konfiguriert, so dass man aus dem internen Netzwerk auf die Webserver zugreifen kann und der Debian-Server sein apt-get und was auch immer er noch braucht ins Internet machen darf.

    Die Sophos scannt alles da diese eine virtuelle DMZ erstellt hat.
    Und wie gesagt, die Sophos ist nicht das Problem. Denn im Protkoll sieht man ganz genau das Anfragen ankommen. Ausgehende Daten kommen nicht an (das heißt weder geblockt noch zugelassen). Sobald ich nach X Neustarts den ping wieder ordnungsgemäß absetzen kann, seh ich auch in Protokoll der sophos die  echo requests....

    Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

    Zur Themenliste gehen

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.