Не работает https

[kwlsoft]

Здравствуйте.

Есть машина с ubuntu server 10.04.1. Подключена в сеть напрямую к провайдеру без vpn, proxy, роутера и т.п., выделен "белый" адрес IPv4. Машина используется как сервер виртуального хостинга для себя, поднят apache, mysql, ftp. Расположенный на сервере php скрипт обращается по https к шлюзу платежной системы, в ответ получает could not connect to host. Для обращения к шлюзу использовал два варианта - curl и сокеты, результат один и тот же. Если в консоли выполнить wget https://paygate.com пишет:
Преобразование адреса paygate.com... 79.142.1919
Устанавливается соединение с paygate.com|79.142.19.19|:443... время ожидания соединения истекло.

Http соединения работают без проблем. В iptables 443 порт открыт. Подскажите, куда смотреть?

[fisher74]

Код: [Выделить]

nmap -p 443 paygate.com -P0дабы проверить работоспособность того самого шлюза

Ну и всё-таки предлагаю показать iptables-save

[kwlsoft]

iptables-save:

(Нажмите, чтобы показать/скрыть)

root@srv:/etc# iptables-save
# Generated by iptables-save v1.4.4 on Sun Nov 20 11:42:03 2011
*nat
:PREROUTING ACCEPT [24928:1628793]
:POSTROUTING ACCEPT [21090:1438722]
:OUTPUT ACCEPT [29507:1814954]
COMMIT
# Completed on Sun Nov 20 11:42:03 2011
# Generated by iptables-save v1.4.4 on Sun Nov 20 11:42:03 2011
*mangle
:PREROUTING ACCEPT [734372:104926294]
:INPUT ACCEPT [734255:104920492]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1073550:1343456373]
:POSTROUTING ACCEPT [1060396:1342890661]
COMMIT
# Completed on Sun Nov 20 11:42:03 2011
# Generated by iptables-save v1.4.4 on Sun Nov 20 11:42:03 2011
*filter
:INPUT DROP [3105:397688]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [13154:565712]
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i lo -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 2220 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1020:1023 --dport 2220 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 20 --tcp-flags ACK ACK -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p udp -m udp --sport 123 --dport 1024:65535 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 53 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p udp -m udp --sport 53 --dport 53 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p udp -m udp --sport 53 --dport 53 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A INPUT -d 89.XXX.XXX.XXX/32 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 17000 -j ACCEPT
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 2220 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 2220 --dport 1020:1023 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 443 --dport 1024:65535 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 10000 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 80 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p udp -m udp --sport 1024:65535 --dport 123 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 143 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p udp -m udp --sport 1024:65535 -j ACCEPT
-A OUTPUT -s 84.146.112.118/32 -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p udp -m udp --sport 53 --dport 53 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p udp -m udp --sport 53 --dport 53 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 53 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A OUTPUT -s 89.XXX.XXX.XXX/32 -o eth0 -p tcp -m tcp --sport 17000 --dport 1024:65535 --tcp-flags ACK ACK -j ACCEPT
COMMIT
# Completed on Sun Nov 20 11:42:03 2011
root@srv:/etc#

nmap:

(Нажмите, чтобы показать/скрыть)

root@srv:/home/user# nmap -p 443 paygate.com -P0

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-20 11:37 YEKT
Warning: Hostname paygate.com resolves to 2 IPs. Using 217.XXX.XXX.XXX.
sendto in send_ip_packet: sendto(5, packet, 44, 0, 217.XXX.XXX.XXX, 16) => Operation not permitted
Offending packet: TCP 89.XXX.XXX.XXX:52461 > 217.XXX.XXX.XXX:443 S ttl=43 id=3045 iplen=44  seq=3074930543 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 217.XXX.XXX.XXX, 16) => Operation not permitted
Offending packet: TCP 89.XXX.XXX.XXX:52462 > 217.XXX.XXX.XXX:443 S ttl=54 id=49355 iplen=44  seq=3074865006 win=3072 <mss 1460>
Interesting ports on 217.XXX.XXX.XXX:
PORT    STATE    SERVICE
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 2.46 seconds
root@srv:/home/user#

[fisher74]

Классическое подтверждение народной приметы данного форума, что OUTPUT -P DROP - это обычно ошибка в правилах.
У Вас не разрешен исходящий траффик на 443 порт внешних ресурсов

-A OUTPUT -s 89.XXX.XXX.XXX/32 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT

[kwlsoft]

Там написано ACCEPT, а не DROP. При сбросе правил файервола проблема не уходит.

[fisher74]

*filter
:INPUT DROP [3105:397688]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [13154:565712]

Там написано ACCEPT, а не DROP.

Вы меня пытаетесь обмануть или себя?

При сбросе правил файервола проблема не уходит.

Тогда показывайте результаты команд со сброшенными правилами

Код: [Выделить]

sudo iptaboes-save
sudo nmap -p 443 paygate.com -P0
P.S. Хотя решение проблемы я уже показал

[kwlsoft]

Там написано ACCEPT, а не DROP. При сбросе правил файервола проблема не уходит.

Перепроверил, Вы оказались правы. Спасибо большое за подсказку.

[eugenydn]

В оффисе на 5 человек машина раздаёт инет (yota).

iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Mar 17 17:35:10 2014
*filter
:INPUT ACCEPT [17083:4169791]
:FORWARD ACCEPT [796426:619599116]
:OUTPUT ACCEPT [15507:4656850]
COMMIT
# Completed on Mon Mar 17 17:35:10 2014
# Generated by iptables-save v1.4.12 on Mon Mar 17 17:35:10 2014
*nat
:PREROUTING ACCEPT [9259:563598]
:INPUT ACCEPT [3108:221044]
:OUTPUT ACCEPT [4046:308664]
:POSTROUTING ACCEPT [33:5045]
-A POSTROUTING -o eth3 -j MASQUERADE
COMMIT
# Completed on Mon Mar 17 17:35:10 2014
# Generated by iptables-save v1.4.12 on Mon Mar 17 17:35:10 2014
*mangle
:PREROUTING ACCEPT [819123:631610126]
:INPUT ACCEPT [17086:4169947]
:FORWARD ACCEPT [796426:619599116]
:OUTPUT ACCEPT [15511:4657650]
:POSTROUTING ACCEPT [812030:624278043]
COMMIT
# Completed on Mon Mar 17 17:35:10 2014

Некоторые сайты работают, некоторые нет.

https://link.alfabank.ru/ - не работает
https://www.cyberplat.ru/ - не работает
https://welcome.planfix.ru/ - работает

chrome говорит connection_reset,
nmap говорит что все ок, порты открыты.

[fisher74]

Может проблема в хроме?

[eugenydn]

Нет.