Keine ausgehenden Verbindungen auf Port 80 und 443

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
toffifee
Beiträge: 3
Registriert: 26.05.2015 21:34:24

Keine ausgehenden Verbindungen auf Port 80 und 443

Beitrag von toffifee » 26.05.2015 22:01:00

Hallo zusammen,
ich habe seit geraumer Zeit ein wirklich kurioses Problem, welches mich an den Rand der Verzweiflung treibt.

Ich betreibe seit langem einen kleinen Homeserver, auf welchem einige virtuelle Maschinen unter Xen laufen. Eine der Virtuellen Maschinen (die für Owncloud, dlna Streaming und NAS zuständig ist) zeigt seit etwa 2 bis 3 Monaten folgendes Verhalten:

Zunächst war auffällig dass apt-get update nicht mehr sauber durch lief, scheinbar willkürlich lieferten einige Repos 404, andere funktionierten einwandfrei. Dann stellte der owncloud-eigene Newsreader seinen Dienst teilweise ein, ebenso willkürlich konnten einige Newsfeeds nicht mehr geladen werden, andere arbeiteten wie gewohnt. Dies zog sich durch das gesamte System und verschiedenstes Anwendungen. Die anderen virtuellen Maschinen auf demselben Server laufen einwandfrei. Zunächst schrie all dies eigentlich nach einem Fehler im DNS, das konnte nach diversen Tests jedoch ausgeschlossen werden. Es scheint der Fall zu sein, dass keine Verbindungen auf Port 80 und 443 aufgebaut werden können, außer auf localhost. Der einfachste Test: öffne ich auf einer der anderen VMs ein nc -l auf 80 oder 443 kann ich von hulk (der VM mit dem Problem) weder per nc noch per telnet connecten. Auf einem beliebigen anderen Port, zum Beispiel 999, funktioniert es problemlos. Den webserver auf hulk bekomme ich von hulk (also telnet localhost) problemlos angesprochen. Es ist also scheinbar so, als würde irgendetwas den ausgehenden Traffic auf Port 80 blockieren (eingehend ist unproblematisch), jedoch sind weder in iptables noch in irgendwelchen anderen Firewalls regeln hinterlegt. Ich bin am Ende mit meinem Latein, google liefert mir das Problem dutzendfach in umgekehrt (also eingehender traffic kommt nicht an), so wie man es kennt und eigentlich immer eine Lösung findet, aber auf diese Weise habe ich das noch nicht erlebt. Ich scheue mich gewaltig vor einer Neuinstallation, da die Kiste jetzt eigentlich über Jahre lief ohne dass ich sie angefasst habe, entsprechend groß ist die Gefahr dass bei der Sicherung irgendwas durchgeht oder nicht mehr kompatibel ist... Es wäre schön, wenn jemand einen Denkanstoß hat. Hier noch kurz die Eckdaten:

Code: Alles auswählen

root@hulk:~# uname -a
Linux hulk 2.6.32-5-xen-686 #1 SMP Sun Sep 23 13:33:12 UTC 2012 i686 GNU/Linux

root@hulk:~# cat /etc/network/interfaces 
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
 address 192.168.2.105
 gateway 192.168.2.1
 netmask 255.255.255.0
  broadcast 192.168.2.255

root@hulk:~# cat /etc/resolv.conf 
nameserver 192.168.2.100

root@hulk:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:16:3e:17:12:01  
          inet addr:192.168.2.105  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: 2003:4c:6b30:d458:216:3eff:fe17:1201/64 Scope:Global
          inet6 addr: fe80::216:3eff:fe17:1201/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:477588 errors:0 dropped:0 overruns:0 frame:0
          TX packets:345764 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:132204930 (126.0 MiB)  TX bytes:374008436 (356.6 MiB)
          Interrupt:246 
(...lo)
Mit besten Grüßen

Bene
Nach oben
Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Keine ausgehenden Verbindungen auf Port 80 und 443

Beitrag von Blackbox » 27.05.2015 01:10:51

Code: Alles auswählen

# iptables -L

Code: Alles auswählen

netstat -tulpen

Code: Alles auswählen

ping google.de

Code: Alles auswählen

ping 8.8.8.8
DHCP probiert ?
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!
Nach oben
toffifee
Beiträge: 3
Registriert: 26.05.2015 21:34:24

Re: Keine ausgehenden Verbindungen auf Port 80 und 443

Beitrag von toffifee » 30.05.2015 12:19:44

Hey,
danke für deine Antwort. Wie gesagt, iptables und dns habe ich gechecked, beides negativ. Hier dennoch die Ergebnisse:

Code: Alles auswählen

root@hulk:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Code: Alles auswählen

root@hulk:~#     netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN      0          5624        2699/slapd      
tcp        0      0 0.0.0.0:8200            0.0.0.0:*               LISTEN      102        6738        2986/minidlna   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      104        5637        2207/mysqld     
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      0          636171      2945/sendmail: MTA:
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          6210        2840/smbd       
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      0          6114        2858/perl       
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          2260980     784/sshd        
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      0          2035962     9325/cupsd      
tcp        0      0 0.0.0.0:3000            0.0.0.0:*               LISTEN      0          5469        2661/ntop       
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          636170      2945/sendmail: MTA:
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      0          6209        2840/smbd       
tcp6       0      0 :::389                  :::*                    LISTEN      0          5625        2699/slapd      
tcp6       0      0 :::139                  :::*                    LISTEN      0          6208        2840/smbd       
tcp6       0      0 :::80                   :::*                    LISTEN      0          3832        1697/apache2    
tcp6       0      0 :::21                   :::*                    LISTEN      116        5275        2583/proftpd: (acce
tcp6       0      0 :::4949                 :::*                    LISTEN      0          3351        1385/perl       
tcp6       0      0 :::22                   :::*                    LISTEN      0          2260983     784/sshd        
tcp6       0      0 :::631                  :::*                    LISTEN      0          2035963     9325/cupsd      
tcp6       0      0 :::443                  :::*                    LISTEN      0          3836        1697/apache2    
tcp6       0      0 :::445                  :::*                    LISTEN      0          6206        2840/smbd       
udp        0      0 192.168.2.105:39998     0.0.0.0:*                           102        6739        2986/minidlna   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          2260856     722/dhclient    
udp        0      0 0.0.0.0:60232           0.0.0.0:*                           0          2260839     722/dhclient    
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           102        6737        2986/minidlna   
udp        0      0 192.168.2.105:123       0.0.0.0:*                           0          5124        2547/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           0          5123        2547/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           0          5115        2547/ntpd       
udp        0      0 192.168.2.255:137       0.0.0.0:*                           0          3288        1367/nmbd       
udp        0      0 192.168.2.105:137       0.0.0.0:*                           0          3287        1367/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           0          3284        1367/nmbd       
udp        0      0 192.168.2.255:138       0.0.0.0:*                           0          3290        1367/nmbd       
udp        0      0 192.168.2.105:138       0.0.0.0:*                           0          3289        1367/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           0          3285        1367/nmbd       
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           0          6115        2858/perl       
udp6       0      0 :::36314                :::*                                0          2260840     722/dhclient    
udp6       0      0 fe80::216:3eff:fe17:123 :::*                                105        2256028     2547/ntpd       
udp6       0      0 2003:4c:6b30:d458:2:123 :::*                                105        2256027     2547/ntpd       
udp6       0      0 ::1:123                 :::*                                0          5125        2547/ntpd       
udp6       0      0 :::123                  :::*                                0          5116        2547/ntpd

Code: Alles auswählen

root@hulk:~# ping google.de
PING google.de (173.194.112.23) 56(84) bytes of data.
64 bytes from fra07s27-in-f23.1e100.net (173.194.112.23): icmp_req=1 ttl=57 time=19.1 ms
64 bytes from fra07s27-in-f23.1e100.net (173.194.112.23): icmp_req=2 ttl=57 time=19.3 ms
64 bytes from fra07s27-in-f23.1e100.net (173.194.112.23): icmp_req=3 ttl=57 time=18.9 ms
^C
--- google.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms

Code: Alles auswählen

root@hulk:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=58 time=15.0 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=58 time=15.6 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=58 time=15.0 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 15.031/15.239/15.626/0.308 ms

DHCP habe ich auch mal ausprobiert, dasselbe Phänomen. Ich kann auf offene Ports 444 connecten, auf 443 nicht. Ich begreife es nicht =(
Nach oben
rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Keine ausgehenden Verbindungen auf Port 80 und 443

Beitrag von rendegast » 30.05.2015 14:00:43

apache horcht nur auf ipv6, soll so sein?

Das sollte/könnte aber nichts mit dem Problem mit 'apt-get update' zu tun haben.
Wird vielleicht ein apt-cacher verwendet?
(bei mir Debianapt-cacher-ng, dessen oracle-virtualbox-dist-Dateien ich gelegentlich löschen muß,
da sie irgendwie die Aktualisierung verhindern)
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Nach oben
toffifee
Beiträge: 3
Registriert: 26.05.2015 21:34:24

Re: Keine ausgehenden Verbindungen auf Port 80 und 443

Beitrag von toffifee » 30.05.2015 22:48:35

apache benutzt bei mir ipv4 mapped, das soll also so sein, aber gut gesehen! 8)

Ich habe keinen apt-cacher, mein Problem ist auch viel weiter "unten". Es funktioniert nicht generell apt nicht, sondern eben alle Verbindungen auf Port 80 oder 443 (außer auf localhost bzw. die eigene IP, unabhängig von Programm und Protokoll (insbesondere betroffen sind aber eben die meisten http Verbindungen, und damit auch apt). Kann das ein Problem vom virtuellen Xen Interface sein?
Nach oben
Antworten

Zurück zu „Netzwerk“