[apache] accès depuis l'extérieur (résolu)

[gajorgem]

Bonjour,
(désolé pour le "servweb" dans le titre, mais comme il était trop long avant ...)
Je n'arrive tout simplement pas à accéder à mon serveur HTTP de l'extérieur. Je n'ai pas de firewall (iptables n'est pas installé), et j'utilise une neufbox. Quand je nmap localhost, j'ai :

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-28 16:37 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
80/tcp open http
631/tcp open ipp
8010/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds

Jusqu'ici, tout va bien, le serveur HTTP marche.
Les choses commencent à se gâter quand j'essaye d'accèder au serveur HTTP sur l'adresse de mon ordi sur le réseau
(192.168.1.21). Paf. "Impossible de se connecter au serveur distant". Un rapide nmap m'indique que seul le port 8010 est ouvert :

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-28 16:49 CEST
Interesting ports on 192.168.1.21:
Not shown: 999 closed ports
PORT STATE SERVICE
8010/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 0.20 seconds

Bizzare. La suite l'est encore plus.
J'essaye d'accèder au serveur HTTP par mon ip. Re-Paf. "Timeout". Un nmap effectué localement me dit que les ports 53, 1287, 8080 et 49152 sont ouverts :

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-28 16:50 CEST
Interesting ports on 88.141.103.226:
Not shown: 996 filtered ports
PORT STATE SERVICE
53/tcp open domain
1287/tcp open unknown
8080/tcp closed http-proxy
49152/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 17.36 seconds

Je me connecte donc à la dédibox d'un ami, et fais un nmap sur mon ip :

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2009-06-28 17:16 CEST
sendto in send_ip_packet: sendto(3, packet, 40, 0, 88.141.103.226, 16) => Operation not permitted
Interesting ports on 226.103.141-88.rev.gaoland.net (88.141.103.226):
(The 1662 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
80/tcp closed http

Nmap finished: 1 IP address (1 host up) scanned in 25.943 seconds

o_O

Pour info, j'ai transféré grâce au NAT de la NeufBox les requêtes du port 80 vers le port 80 de 192.168.1.21 :
[lien]http://uppix.net/d/c/5/70836e8b4ab448dc ... 538731.png[/lien]

Encore plus bizzare, quand je transfère les requêtes du port 522 (choisi au hasard) :
[lien]http://uppix.net/f/0/2/832b09c945330287 ... be3f4c.png[/lien]

Nmap, depuis un serveur distant, me donne ce résultat :

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2009-06-28 17:23 CEST
sendto in send_ip_packet: sendto(3, packet, 40, 0, 88.141.103.226, 16) => Operation not permitted
Interesting ports on 226.103.141-88.rev.gaoland.net (88.141.103.226):
(The 1661 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
80/tcp closed http
522/tcp closed ulp

Nmap finished: 1 IP address (1 host up) scanned in 25.459 seconds

Que puis-je faire ? :/

gajorgem

[Vinvin]

Il me semble que iptables est installé par défaut, même si tu n'as pas souhaité son installation.
Que donnent les commandes suivantes, exécutées sur le serveur :

Code : Tout sélectionner

iptables -vnL -t filter
iptables -vnL -t nat
iptables -vnL -t raw
iptables -vnL -t mangle

Pour info, j'ai transféré grâce au NAT de la NeufBox les requêtes du port 80 vers le port 80 de 192.168.1.21 :

Tu ne rediriges que le protocole TCP.
Essaie en redirigeant TCP et UDP (je ne sais pas si ça marchera, c'est juste pour essayer).

[gajorgem]

Bonjour,

Tout d'abord, merci pour ta réponse.

J'ai désintallé iptables, donc le problème n'est pas là.
Je viens aussi d'essayer avec UDP, et ça ne marche pas.

gajorgem

[Vinvin]

Je viens d'essayer un nmap sur ton ip :

nmap 88.141.103.226

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-28 18:51 CEST
Interesting ports on 88.141.103.226:
Not shown: 999 filtered ports
PORT STATE SERVICE
80/tcp closed http

Nmap done: 1 IP address (1 host up) scanned in 30.88 seconds

J'ai désintallé iptables

Waou !
Il me semble que Netfilter (iptables) est justement une des composantes essentielles du noyau linux pour la gestion du réseau. La suppression d'iptables sur le serveur pourrait expliquer les difficultés que tu rencontres.

Si tu as supprimé iptables uniquement dans le but de ne pas avoir de pare-feu, rassures-toi : tu peux paramétrer Netfilter (iptables) pour laisser tout passer (c'est même sa configuration par défaut)

Je te conseille de ré-installer iptables sur le serveur, puis de redémarrer.
On vérifiera ensuite qu'iptables est bien réglé sur « On laisse tout passer, on ne filtre rien » avec les commandes suivantes :

Code : Tout sélectionner

iptables -vnL -t filter
iptables -vnL -t nat
iptables -vnL -t raw
iptables -vnL -t mangle

Poste-nous le résultat de ces 4 commandes. Logiquement, iptables est déjà réglé sur « On laisse tout passer, on ne filtre rien ».

Ensuite, essaie de joindre ton serveur HTTP, d'abord en local, ensuite depuis ton réseau local.

[gajorgem]

Bonsoir,

J'ai réinstallé iptables, et voici le résultat des commandes :

[root@nec_noir mrpaul]# iptables -vnL -t filter
Chain INPUT (policy ACCEPT 9 packets, 860 bytes)
pkts bytes target prot opt in out source destination
305 79158 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 230 packets, 22987 bytes)
pkts bytes target prot opt in out source destination
110 43080 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
[root@nec_noir mrpaul]# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 7 packets, 772 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 31 packets, 2660 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 31 packets, 2660 bytes)
pkts bytes target prot opt in out source destination
[root@nec_noir mrpaul]# iptables -vnL -t raw
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@nec_noir mrpaul]# iptables -vnL -t mangle
Chain PREROUTING (policy ACCEPT 319 packets, 80386 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 317 packets, 80266 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 343 packets, 66260 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 343 packets, 66260 bytes)
pkts bytes target prot opt in out source destination
[root@nec_noir mrpaul]#

J'avais paramétré iptables pour laisser passer le trafic sur le port 80, mais ça n'avait pas marché. :/
gajorgem

[Vinvin]

Ton iptables est bien paramétré en mode « On ne filtre rien ». Le problème ne vient donc pas de là.

Est-ce que ton serveur HTTP est bien lancé ? Lorsque tu es sur le serveur, firefox peut-il se connnecter au site http://127.0.0.1 ?

[gajorgem]

Oui, il peut.

gajorgem

[benjarobin]

As tu bien suivi le wiki : http://wiki.archlinux.org/index.php/LAMP

[gajorgem]

Oui, je l'ai suivi.

gajorgem

[tuxce]

que te sort:

Code : Tout sélectionner

netstat -ntlp

en root sur ton poste ?

[gajorgem]

Ça me sort ça :

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:8840 0.0.0.0:* LISTEN 5953/opera
tcp 0 0 0.0.0.0:8010 0.0.0.0:* LISTEN 3771/kopete
tcp 0 0 127.0.0.1:80 0.0.0.0:* LISTEN 3407/httpd
tcp 0 0 0.0.0.0:38867 0.0.0.0:* LISTEN 3774/skype
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3205/cupsd

gajorgem

[tuxce]

ton serveur apache n'écoute que sur 127.0.0.1, donc c'est normal que tu ne puisse pas y accéder autrement.
tu as modifié la directive Listen dans /etc/httpd/conf/httpd.conf ?

[gajorgem]

Euuh, non.

Listen 127.0.0.1:80

Comment pourrais-je la modifier ?

gajorgem

[tuxce]

si c'est pas toi qui l'as modifié, faut faire une enquête
mets:

Code : Tout sélectionner

Listen 80

[gajorgem]

Maintenant, je ne peux plus du tout accéder à mon serveur, ni de l'intérieur, ni de l'extérieur.

gajorgem

[tuxce]

tu as redémarré apache? il a mis une erreur ?
netstat ?
sinon vu que tu réponds relativement vite, tu peux aussi passer sur irc, ça serait plus simple

[gajorgem]

Résolu \o/

[tuxce]

au cas où, pour info, un routeur ne permet pas d'accéder à une machine du réseau local par l'adresse publique depuis le réseau local.
sinon, le reste, c'était juste le "Listen"

[benjarobin]

C'est ce que je disais tu n'a pas suivi le WIKI !
C'est pourtant marqué....
Je n'ai pas voulu exprès donné la solution.

[nmy]

juste pour dire qd vous voulez verifie si un service a demarrer le mieux

c est bien le netstat -tnlp

vs voyez directement si le service ecoute en local ou public....

ca resouds pas mal de chose juste cette info