Невозможно достучаться к серверу по HTTP без SSL

[Scorry]

Ситуация.
Есть domain.tld, на нём запущен апач с постоянным рерайтом всего входящего на SSL. ОК, иногда надо запускать на том же сервере второй (или третий) параллельный отладочный сервер — то на WSGI, то ещё на чём. На порту 8000, или 8080, или 8888 — да какая разница, собственно.
Тут начинается магия. Тыкаюсь при запущенном отладочном сервере на http://domain.tld:8000 — бросает на https://domain.tld:8000 и, естественно, доступ к отладочному серверу не даёт. По айпи заходит без вопросов. Думал, апач каким-то противоестественным образом хватает эти порты — не-а, он listen только на 80 и 443. Останавливаю сервис апача — всё равно редиректит на https.
То ли я туплю, то ли я туплю.
Вопрос — где я туплю и чего элементарного не понимаю?

[kostryukov]

Есть domain.tld, на нём запущен апач с постоянным рерайтом всего входящего на SSL

Останавливаю сервис апача — всё равно редиректит на https

это как? поподробнее по настройке редиректа

[Scorry]

Есть domain.tld, на нём запущен апач с постоянным рерайтом всего входящего на SSL

Останавливаю сервис апача — всё равно редиректит на https

это как? поподробнее по настройке редиректа

Настроено посредством /var/www/html/.htaccess :

Код: [Выделить]

RewriteEngine On

# Redirect all HTTP traffic to HTTPS.
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

[kostryukov]

а что значит,

Останавливаю сервис апача — всё равно редиректит на https

а кто тогда редиректит?

а конфиги сайтов какие, для ip и для домена?

[Scorry]

а что значит,

Останавливаю сервис апача — всё равно редиректит на https

Броузер при адресации на http://domain.tld:5000 прыгает на https://domain.tld:5000 и, естественно, ничего не находит, так как на 5000 порту работает питоновский сервер, который без ссл.

а кто тогда редиректит?

Вот это и хочу понять.

а конфиги сайтов какие, для ip и для домена?

Что-то конкретное имеете в виду? Cпрашивайте, выложу.
000-default.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        <Directory "/var/www/html">
          Options FollowSymLinks
          AllowOverride All
        </Directory>
        LogLevel info ssl:warn
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet


default-ssl.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                ServerAdmin webmaster@localhost
                DocumentRoot /var/www/html
                <Directory "/var/www/html">
                # Ensure owncloud is always going over https
                  Redirect permanent /owncloud https://domain.tld/owncloud
                  Options All Indexes FollowSymLinks
                  AllowOverride All
                  SSLOptions +StdEnvVars
                </Directory>
                ErrorLog ${APACHE_LOG_DIR}/error.log
                LogLevel warn
                CustomLog ${APACHE_LOG_DIR}/ssl_request.log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x $
                <Location /rutorrent>
                        AuthType Digest
                        AuthName "rutorrent"
                        AuthDigestDomain /var/www/html/rutorrent/ http://domain.tld/rutorrent
                        AuthDigestProvider file
                        AuthUserFile /path/to/secret/.htpasswd
                        Require valid-user
                        SetEnv R_ENV "/var/www/html/rutorrent"
                </Location>

                SSLEngine on
                SSLProtocol all -SSLv2 -SSLv3
                SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
                SSLCertificateFile      /path/to/ssl.crt
                SSLCertificateKeyFile /path/to/ssl.key
                SSLCertificateChainFile /path/to/ca.pem
                SSLCACertificateFile /path/to/ca-bundle.pem

                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>
                BrowserMatch "MSIE [2-6]" \
                                nokeepalive ssl-unclean-shutdown \
                                downgrade-1.0 force-response-1.0
                # MSIE 7 and newer should be able to use keepalive
                BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

        </VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[kostryukov]

Код: [Выделить]

/etc/init.d/httpd stop
netstat -anp
точно никто не слушает 80й ?
Пользователь решил продолжить мысль [time]24 Февраль 2015, 15:53:47[/time]:и еще

Код: [Выделить]

lsof -i
Пользователь решил продолжить мысль 24 Февраля 2015, 15:03:11:может у вас еще nginx есть? и у него настройки редиректа прописаны?

[Scorry]

Погасил апач и:

Код: [Выделить]

netstat -plnt

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      1658/dovecot
tcp        0      0 127.0.0.1:5555          0.0.0.0:*               LISTEN      27911/rtorrent
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1683/dnsmasq
tcp        0      0 192.168.0.1:53          0.0.0.0:*               LISTEN      1683/dnsmasq
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1629/sshd
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      1841/postgres
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2075/master
tcp        0      0 127.0.0.1:8891          0.0.0.0:*               LISTEN      1959/opendkim
tcp        0      0 192.168.0.1:445         0.0.0.0:*               LISTEN      956/smbd
tcp        0      0 127.0.0.1:445           0.0.0.0:*               LISTEN      956/smbd
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      1658/dovecot
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      1658/dovecot
tcp        0      0 127.0.0.1:10023         0.0.0.0:*               LISTEN      1928/postgrey.pid -
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1764/mysqld
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      24021/memcached
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      2075/master
tcp        0      0 192.168.0.1:139         0.0.0.0:*               LISTEN      956/smbd
tcp        0      0 127.0.0.1:139           0.0.0.0:*               LISTEN      956/smbd
tcp        0      0 0.0.0.0:49164           0.0.0.0:*               LISTEN      27911/rtorrent


Всё чисто. Энджинекс отсутствует как класс.
Пользователь решил продолжить мысль 24 Февраля 2015, 15:49:18:Вопрос не в том, кто занимает 80 порт — ответ: никто, кроме апача. И он его (80 порт) отпускает, когда его гасят. Вопрос в том, почему при обращении на порт 8000 или 5000 снаружи броузер переключается на протокол https при обращении к домену, а при обращении к серверу по айпи всё работает нормально.

[kostryukov]

т.е. ваши настройки редиректа не причем

RewriteEngine On

# Redirect all HTTP traffic to HTTPS.
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

на 8000 или 5000 что запускаете, не апач?

[Scorry]

т.е. ваши настройки редиректа не причем

RewriteEngine On

# Redirect all HTTP traffic to HTTPS.
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

на 8000 или 5000 что запускаете, не апач?

Нет, не апач. Werkzeug или SimpleHTTPServer питоновский.

А эти настройки редиректа работают, когда апач погашен? Мне казалось, что нет. Я неправ?

[kostryukov]

нет, не работают.


может у вас SimpleHTTPServer управляет редиректом?

или питоновский скрипт
http://www.elifulkerson.com/projects/http-https-redirect.php

[Scorry]

нет, не работают.


может у вас SimpleHTTPServer управляет редиректом?

или питоновский скрипт
http://www.elifulkerson.com/projects/http-https-redirect.php

Да нет. Ванильная установка.

[kostryukov]

это не VPS ?

с админкой через https?
Пользователь решил продолжить мысль 25 Февраля 2015, 18:04:54:ну и пробуйте отключать сервисы один за одним, может прояснится что.
кто в ответе за редирект.

[Scorry]

это не VPS ?

с админкой через https?

Да нет, вполне себе отдельно стоящий сервер с ssh, с физическим доступом к нему и так далее. Полный отдельно стоящий комплект.

ну и пробуйте отключать сервисы один за одним, может прояснится что.
кто в ответе за редирект.

Попробую на выходные. Пользователей предупредить...