[求助]启用apache的proxy模块后与iptable冲

ecapslock · 发表于 2005-6-7 15:38:55

我起用了apache的proxy模块，为了让域名test.com能够访问到http：//10.10.10.10：8080/capslock这个东西，一直都不成功，昨晚突然联想到可能是我做了iptables的问题，今天早上一早到公司来了个iptables -F
打开浏览器打入test.com后成功跳到了http：//10.10.10.10：8080/capslock这个页面，但是我的iptables是不能停的，，iptables-restore一下又不能访问了，我的input链默认是drop掉的，只开了有限的几个端口，80，8080等，也就是说我的INPUT链只要全部放行就OK，但全部放行是不可能的，因为涉及到服务器的安全问题。我现在不知道该怎么改iptables，或者还有别的什么办法~请高人指点一下。

hew · 发表于 2005-6-7 20:25:33

forward 链呢？

ecapslock · 发表于 2005-6-7 21:36:35

forward链是全部accept的！
我只要打iptables -P INPUT ACCEPT就OK了
我不知道INPUT链还需要开什么对应端口，我通过打开浏览器在里面打入test.com，然后用netstat看监听端口，发现是随机的，不知道该怎么办了~
:-(

dannycat · 发表于 2005-6-8 21:34:54

[quote:d4c008fca3="ecapslock"]...我的input链默认是drop掉的，只开了有限的几个端口，80，8080等...[/quote]
具体规则情况如何？拿 iptables-save 的结果来看。

初步认为是 DNS 查询失败造成的。

ecapslock · 发表于 2005-6-9 09:04:13

# Generated by iptables-save v1.2.8 on Fri Apr 29 14:33:32 2005
*nat

REROUTING ACCEPT [4992]

OSTROUTING ACCEPT [409]
:OUTPUT ACCEPT [409]
COMMIT
# Completed on Fri Apr 29 14:33:32 2005
# Generated by iptables-save v1.2.8 on Fri Apr 29 14:33:32 2005
*filter
:INPUT DROP [2409]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [133181]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m limit --limit 1/sec -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 31337 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 31335 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 27444 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 27665 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 20034 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 9704 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 137 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 138 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --dport 139 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 139 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 138 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 137 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 9704 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 20034 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 27665 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 27444 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 31335 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 31337 -j DROP
COMMIT
# Completed on Fri Apr 29 14:33:32 2005

ecapslock · 发表于 2005-6-9 19:06:07

没人会吗？

dannycat · 发表于 2005-6-9 19:53:57

确定是 DNS 查询的问题了。

不过还是需要你先说说清楚。你的 DNS 服务器 IP 是多少？

或者，允许全部的 UDP 协议的 DNS 包：
/sbin/iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

ecapslock · 发表于 2005-6-10 09:45:26

还是不行
我快崩溃了，打入www.test.cn还是显示
Bad Gateway
The proxy server received an invalid response from an upstream server.

--------------------------------------------------------------------------------

Apache/2.0.46 (Red Hat) Server at www.test.cn Port 80

我现在用的DNS地址是61。177。7。1
我的域名用的DNS地址是210.51.170.66

ecapslock · 发表于 2005-6-12 20:02:42

自己顶一下，请求高人的帮助

dannycat · 发表于 2005-6-14 13:16:45

[quote:9513504b90="ecapslock"]还是不行
我快崩溃了，打入www.test.cn还是显示
Bad Gateway
The proxy server received an invalid response from an upstream server.

--------------------------------------------------------------------------------

Apache/2.0.46 (Red Hat) Server at www.test.cn Port 80

我现在用的DNS地址是61。177。7。1
我的域名用的DNS地址是210.51.170.66[/quote]你还是好好描述一下你的网络结构先。说不清楚就画张图~~

ecapslock · 发表于 2005-6-15 09:20:05

拓扑再简单不过了，一台交换机，上面接了好多服务器，我要做的服务器就是其中一台，距离300米远的电信机房的一跟光纤直接拉到这台交换机上。就这么多

dannycat · 发表于 2005-6-15 21:59:33

就这样？那谁 proxy 谁？ DNS 服务器在哪里？所谓的“域名test.com”怎么就能“转到10.10.10.10”的？你后面怎么就又跑出来个“www.test.cn”？

请你找个朋友来再从头看看你的整篇帖子，在他能明白之前我不再回复。

ecapslock · 发表于 2005-6-16 10:10:55

OK!有一点我没说清楚，test.com和www.test.cn，我只是举了个例子，域名不是本问题的关键，我总共申请了两个域名，一个叫syshy.cn，一个叫syshy.com，每个域名我都另新建了主机头www，并且都指向到一个公网地址222.*.*.*这里我确实不该写成10.10.10.10,因为你显然已经把它认为是内部地址了。我的两个域名都指向同一个IP-----222.*.*.*，也就是说我只要在浏览器中打入www.syshy.com/syshy.com/www.syshy.cn/syshy.cn这4个地址都会打开我222.*.*.*上的默认主页。
在我的服务器222.*.*.*,我另有一套相当于CMS的程序，其默认断口是8080，访问方法只要输入http://222.*.*.*:8080/capslock，其中capslock是我的一个站点名称，默认端口8080是可以任意修改的，显然我不能把他改成80，因为我的80口已经被站用了，改成80的话事情就好办多了，但不能改。
现在我要实现的是：当我打入上面所说的4个网址时能够打开我在222.*.*.*上的CMS，也就是说能打开http://222.*.*.*:8080/capslock这个页面。我所知道的有下面几种方法：
1是设置域名的转发，很简单，但显然达不到最好的效果。
2是我自己做个自动跳转页面，在这个页面上做个跳转直接跳到http://222.*.*.*:8080/capslock，然后在apache里设置一个虚拟站点，主目录指向这个跳转页面的目录。
3是起用apache的proxy模块，这是我想用的方法，我已经配置好apache（细节不表），并且在防火墙关闭的情况下能够实现，但是起用了iptable就出现Bad Gateway
The proxy server received an invalid response from an upstream server.
的错误。
DNS服务器地址为210.51.170.66，在南通。我本地的DNS解析地址为61。177。7。1，iptable的内容上面已经有了，至于topo，我觉得该说的都说了。请问你现在看懂了没？

archyailinux · 发表于 2005-6-16 10:18:34

说的非常清楚就使你现在想 www.syshy.com 直接访问到 http://222,,,,

ecapslock · 发表于 2005-6-23 15:31:29

谢谢archyailinux的回复

		自动登录	找回密码
密码			注册

[求助]启用apache的proxy模块后与iptable冲

Re: [求助]启用apache的proxy模块后与ipta