[問題] 求救iptables無法通過TLS機制
新安裝一台主機。
系統:Linux Debian10.8,Apache2 + php7+ MySql+ DHCP,SAMBA,VNC,SSH,perl等。
裝得很辛苦,使用iptables 的NAT機制讓內網聯外,看來一切正常網站也OK,但是上線
後才發現某些網站內網無法連上,主要就擋在瀏覽器的TLS握手這關,於是發生電子郵件收
不到,Line也收不到等問題,(手機使用wifi,無線AP也是接在這台主機之後連上網路),
但是舊的主機(CentOS5)就沒有這些問題,電子郵件及Line都正常,網路上找了一堆
iptables的rule,主要都是開放443port,無論INPUT或OUTPUT或INPUT,OUTPUT都開但是
都沒用,連不上的仍然連不上,可是這些網站從Debian的主機是都可以連上的,只有從
內網走NAT出去的才會發生這個問題,所以才懷疑是iptables的問題,谷歌遍了仍然無解。
從舊的主機可以連上,表示不是瀏覽器的問題,高度懷疑Debian是否少裝了甚麼。
試過nginx但裝不起來,也不知是否該裝,萬事俱備只欠東風,請鄉民高手們幫忙解惑,
感恩。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.198.5 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1619927391.A.8F0.html
推
05/02 15:05,
3年前
, 1F
05/02 15:05, 1F
網路上好多裝法,不成功就換另一種,結果都沒成功,要移除又移不掉,因為有做dd,
所以將系統還原到未裝前,再專攻iptables也不成,新舊主機的iptables內容完全相
同,剛才又谷歌了一回,握手失敗是雙方server間的問題,或許是我的系統太新對方的
太舊吧....,所以換回舊主機就OK了,我猜的。
nginx好像是讓網站支援https,如果是這樣就不是我要的,所以覺得還是問一下比較妥當。
※ 編輯: fashionjack (122.116.198.5 臺灣), 05/02/2021 15:41:09
推
05/02 15:43,
3年前
, 2F
05/02 15:43, 2F
→
05/02 15:43,
3年前
, 3F
05/02 15:43, 3F
→
05/02 16:44,
3年前
, 4F
05/02 16:44, 4F
→
05/02 16:46,
3年前
, 5F
05/02 16:46, 5F
→
05/02 16:46,
3年前
, 6F
05/02 16:46, 6F
→
05/02 16:46,
3年前
, 7F
05/02 16:46, 7F
→
05/02 19:01,
3年前
, 8F
05/02 19:01, 8F
nginx 還是裝不起來過程如下:
root@debian102:/#apt update
root@debian102:/#apt install nginx
更換媒體:請把以下名稱的光碟
'Debian GNU/Linux 10.8.0 _Buster_ - Official amd64 DVD Binary-1
20210206-10:31'放入 '/media/cdrom/' 裝置,然後按 [Enter] 鍵
..
..略
dpkg: error processing package nginx-full (--configure):
installed nginx-full package post-installation script 子進程傳回了 1 錯誤退出
狀態碼
dpkg: 因相依問題,無法設定 nginx:
nginx 相依於 nginx-full (<< 1.14.2-2+deb10u3.1~) | nginx-light (<<
1.14.2-2+deb10u3.1~) | nginx-extras (<< 1.14.2-2+deb10u3.1~)﹔然而:
nginx-full 套件尚未設定。
套件 nginx-light 未安裝。
套件 nginx-extras 未安裝。
nginx 相依於 nginx-full (>= 1.14.2-2+deb10u3) | nginx-light (>=
1.14.2-2+deb10u3) | nginx-extras (>= 1.14.2-2+deb10u3)﹔然而:
nginx-full 套件尚未設定。
套件 nginx-light 未安裝。
套件 nginx-extras 未安裝。
dpkg: error processing package nginx (--configure):
相依問題 - 保留未設定
執行 man-db (2.8.5-2) 的觸發程式……
執行 systemd (241-7~deb10u7) 的觸發程式……
處理時發生錯誤:
nginx-full
nginx
E: Sub-process /usr/bin/dpkg returned an error code (1)
root@debian102:/# apt-get remove ngixn
正在讀取套件清單... 完成
正在重建相依關係
正在讀取狀態資料... 完成
E: 找不到套件 ngixn
不知道nginx 是取代 apache的, 那就不應該安裝。
不過看說明,開放443 PORT是配合nginx環境下使用的。
不要看iptables了,新舊主機都一樣的(小州寫的),執行no error,若有問題不會單
發生在某一台。
最後一行是:iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
問題就在新主機代理的"TLS握手"會卡關。
若沒辦法就只好改網路架構,開另一條路,設routing table讓握手卡關的網站走這邊
,這樣子讓新伺服器先上。
※ 編輯: fashionjack (122.116.198.5 臺灣), 05/03/2021 07:06:56
→
05/03 12:12,
3年前
, 9F
05/03 12:12, 9F
→
05/03 12:13,
3年前
, 10F
05/03 12:13, 10F
→
05/03 12:15,
3年前
, 11F
05/03 12:15, 11F
→
05/03 12:17,
3年前
, 12F
05/03 12:17, 12F
噓
05/03 23:44,
3年前
, 13F
05/03 23:44, 13F
噓
05/08 07:24,
2年前
, 14F
05/08 07:24, 14F
推
05/14 15:32,
2年前
, 15F
05/14 15:32, 15F
→
05/14 15:32,
2年前
, 16F
05/14 15:32, 16F
搞定了,iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 之前加
下面這一行。
iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
感謝 kenduest。
※ 編輯: fashionjack (122.116.198.5 臺灣), 05/17/2021 20:17:17
推
05/17 21:17,
2年前
, 17F
05/17 21:17, 17F
Linux 近期熱門文章
PTT數位生活區 即時熱門文章
