• Gelöst kedakai

    (@kedakai)


    Guten Abend,

    ich habe seit heute folgendes Kurioses Problem:
    Aber zu aller erst erkläre ich einmal die Umgebung.

    Früher: Ein Server mit einem nginx aus den Backports, einer mysql installation und einem ganz normalen php5-fpm/mysql.

    Seit dieser Woche: Ein Cluster bestehend aus zwei Nodes, die über Pacemaker,DRBD,nginx,mysql und php5-fpm/mysql laufen und gegenseitig Failovern können. Das bedeutet auch, dass ich eine Failover IP bei meinem Provider habe.

    Ich habe nun seit heute das Problem, dass ich mich weder auf der Shell
    (z.B. curl https://de.wordpress.org -> Läuft in einen Timeout und kommt nur bis zum DNS-Lookup)
    noch von einem der vielen Backends verbinden kann. Dort bekomme ich immer den Fehler:

    Ein unerwarteter Fehler ist aufgetreten. Das könnte an WordPress.org oder der Konfiguration dieses Servers liegen. Solltest du weiterhin Probleme haben, wende dich an den Support.

    ALTE ERKENNTNIS:

    Da ich keine Outbound, sondern nur eine Inbound Firewall habe und bspw:
    curl https://google.de
    funktioniert, sehe ich nur die Möglichkeit, dass WordPress die IP’s blockt.

    NEUE:
    Als ich meine Firewall komplett „heruntergefahren“ hatte funktionierten die Verbindungen wieder. Aber ich habe trotz allem keine Outbound Firewall.
    Der Server kann nach außen quatschen was er will, es gibt keine Begrenzung. https mit anderen Seiten geht ja auch.
    Gibt es eine besondere Regel, die man unbedingt brauch?

    Im folgenden paste ich meine Firewall Konfiguration und ersetze die IP’s durch meine zwei Server (Im folgenden server01 und server02 genannt), durch meinen Icinga-Server (icinga01) und durch den Namen failoverip für die Failover-IP)

    # Generated by iptables-save v1.4.14 on Fri Feb 12 19:44:00 2016
    *filter
    :INPUT ACCEPT [510475:2673197349]
    
    -A INPUT -s failoverip -p tcp -j ACCEPT
    -A INPUT -s server01 -p tcp -j ACCEPT
    #-A INPUT -p tcp -s failoverip --dport 0:65000 -j ACCEPT
    #-A INPUT -p udp -s failoverip --dport 0:65000 -j ACCEPT
    #-A INPUT -s server01 -m state --state NEW -p udp -m multiport --dports 5404,5405 -j ACCEPT
    #-A INPUT -s server01 -p tcp -m state --state NEW -m tcp --dport 2224 -j ACCEPT
    -A INPUT -p igmp -j ACCEPT
    -A INPUT -m addrtype --dst-type MULTICAST -j ACCEPT
    -A INPUT -p tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -d failoverip --dport 80 -j ACCEPT
    -A INPUT -p udp --dport 22 -j ACCEPT
    -A INPUT -p udp -d failoverip --dport 80 -j ACCEPT
    -A INPUT -p tcp -d failoverip --dport 21 -j ACCEPT
    -A INPUT -p udp -d failoverip --dport 21 -j ACCEPT
    -A INPUT -p tcp -d failoverip --dport 15000:15250 -j ACCEPT
    -A INPUT -p tcp -s icinga01 --dport 21 -j ACCEPT
    -A INPUT -p tcp -d failoverip --dport 443 -j ACCEPT
    -A INPUT -p udp -d failoverip --dport 443 -j ACCEPT
    -A INPUT -p tcp -s icinga01 -d server02 --dport 7050 -j ACCEPT
    -A INPUT -p tcp -s icinga01 -d failoverip --dport 8080 -j ACCEPT
    -A INPUT -p tcp -s server01 -d server02 --dport 8080 -j ACCEPT
    -A INPUT -p tcp -d server02 -j DROP
    -A INPUT -p tcp -d failoverip -j DROP
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [610777:347262190]
    :fail2ban-ssh - [0:0]
    -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
    -A fail2ban-ssh -s 166.78.197.10/32 -j DROP
    -A fail2ban-ssh -j RETURN
    COMMIT
    # Completed on Fri Feb 12 19:44:00 2016

    Ich kann mich nicht verbinden, egal was ich mache.
    Pingen geht jedoch ohne Probleme. (Wenn auch etwas lang)

    ping de.wordpress.org
    PING wordpress.org (66.155.40.250) 56(84) bytes of data.
    64 bytes from wordpress.org (66.155.40.250): icmp_req=1 ttl=52 time=176 ms
    64 bytes from wordpress.org (66.155.40.250): icmp_req=2 ttl=52 time=175 ms
    64 bytes from wordpress.org (66.155.40.250): icmp_req=3 ttl=52 time=177 ms
    64 bytes from wordpress.org (66.155.40.250): icmp_req=4 ttl=52 time=175 ms

    Ich krieg nur keine Verbindung auf jegliche andere Ports. 21,22,80 und 443 gehen alle nicht, wenn die Firewall hochgefahren ist.

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Bei der Server-Konfig kann ich dir nicht helfen, aber mit diesem Tool kann man mögliche Probleme bei der https-Verbindung checken. Vielleicht hilft es dir beim Debuggen des Problems:
    http://dd32.id.au/uploads/2013/10/https-debugger.zip

    Gruß, Torsten

    Thread-Starter kedakai

    (@kedakai)

    Leider hilft das nicht wirklich :-/
    Da ich generell keine Verbindung aufbauen kann.
    Es ist ein Problem, welches global, also auch außerhalb von WP auftritt.
    Ich dachte es gibt irgendeinen „dirty Hack“.
    Anderst kann ich mir nicht erklären, wieso meine Inbound Firewall eine Outbound Verbindung blockt. Es muss ja irgendwas mit wordpress.org selbst zu tun haben.

    Thread-Starter kedakai

    (@kedakai)

    Fixed:

    Diese Firewallregeln wurden benötigt:

    -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT

    Eigentlich reicht die erste, aber alle drei schaden nie.

    Danke fürs Teilen! 🙂

    Thread-Starter kedakai

    (@kedakai)

    Ich hasse es, wenn Leute ihre Lösung nicht mitteilen. Der nächste der danach Googelt bekommt dann eventuell gleich seine Antwort.
    Wenn man fragt, und Support erwartet, kann man auch seine Lösung bereit stellen.

    (Obwohl das schon ein eher Linux-Spezifisches Problem war, was ich jedoch vorher nicht wusste.)

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Das Thema „Verbindung zu WordPress nicht möglich. Weder auf Shell noch im Backend.“ ist für neue Antworten geschlossen.