无法从外部主机在 TCP 端口建立连接
Can't estabilish connection in TCP port from external host
拜托,有人帮我解决这个问题!到目前为止,我真的挣扎了几个小时。不知道怎么办了,翻遍了每一页,还是没有解决办法。
我有一个 Python 脚本,它侦听端口 443 (https - TCP)。它通过此端口接收 JSON POST 消息。问题是它没有从外部主机接收任何东西,只从它自己那里接收。我的意思是,当我使用来自外部主机的 POSTMAN 模拟 POST 时,它从不回答:
(我用 'y.y.y.y' 屏蔽了我的服务器 IP,用 'xxxx' 屏蔽了我脚本中的令牌)
但是当我从我自己的服务器内部发送完全相同的东西时,它工作得很好。从我自己的服务器内部发送的代码:
[root@rrpump bot]# curl -v -k -X POST -H "Content-Type: application/json" -H "Cache-Control: no-cache" -d '{
> "update_id":10000,
> "message":{
> "date":1441645532,
> "chat":{
> "last_name":"Test Lastname",
> "id":1111111,
> "type": "private",
> "first_name":"Test Firstname",
> "username":"Testusername"
> },
> "message_id":1365,
> "from":{
> "last_name":"Test Lastname",
> "id":1111111,
> "first_name":"Test Firstname",
> "username":"Testusername"
> },
> "text":"/start"
> }
> }' "https://y.y.y.y/xxxx"
成功响应:
* About to connect() to y.y.y.y port 443 (#0)
* Trying y.y.y.y...
* Connected to y.y.y.y (y.y.y.y) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* subject: CN=y.y.y.y 1,O=Example Brooklyn Company,L=Brooklyn,ST=New York,C=US
* start date: Mar 06 13:54:03 2018 GMT
* expire date: Mar 06 13:54:03 2019 GMT
* common name: y.y.y.y
* issuer: CN=y.y.y.y,O=Example Brooklyn Company,L=Brooklyn,ST=New York,C=US
> POST /xxxx HTTP/1.1
> User-Agent: curl/7.29.0
> Host: y.y.y.y
> Accept: */*
> Content-Type: application/json
> Cache-Control: no-cache
> Content-Length: 392
>
* upload completely sent off: 392 out of 392 bytes
* HTTP 1.0, assume close after body
< HTTP/1.0 200 OK
< Server: WebhookHandler/1.0 Python/3.6.4
< Date: Tue, 06 Mar 2018 16:52:55 GMT
<
* Closing connection 0
已经检查它是否真正监听那个端口:
[root@rrpump bot]# lsof -i:443
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
python3.6 30644 root 8u IPv4 2785755157 0t0 TCP *:https (LISTEN)
也已经检查了 iptables(最后 'ACCEPT' 行):
[root@rrpump bot]# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
all -- anywhere anywhere
tcp -- anywhere anywhere
tcp -- anywhere anywhere tcp dpt:pcsync-https
ACCEPT tcp -- anywhere anywhere tcp dpt:pcsync-https
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
防火墙也被禁用:
[root@rrpump bot]# firewall-cmd --permanent --add-port=443/tcp
FirewallD is not running
我是 运行 它在 CENTOS 7 64 位,美国托管商 VPS 服务器上。我忘了在这里检查什么??!
在 iptables 规则中,您的脚本在 accept 规则之前有 reject 规则。它们从未被使用过,因为它们的检查顺序与 iptables 列出它们的顺序相同。所以内核首先找到匹配的 reject 规则。您必须将 reject 规则移动到 table 的末尾,或者将您的规则移动到顶部(使用 iptables -I 插入它们而不是通过 iptables -A 附加)。
或者删除 reject 规则,并将输入链的默认策略设置为 reject 或 drop).
另外请记住,内核级别的所有 table 总是有一些规则(至少是默认策略)。因此,通过禁用某些系统守护进程,您不一定会让您的主机对所有连接都完全开放。如果不确定,请始终参考 iptables --list。
哦,还有这个基于文件 /etc/hosts.allow 和 /etc/hosts.deny 内容的 accepting/rejecting TCP 连接的旧解决方案。请检查一个是否允许与 443 的连接,另一个是否被拒绝。
拜托,有人帮我解决这个问题!到目前为止,我真的挣扎了几个小时。不知道怎么办了,翻遍了每一页,还是没有解决办法。
我有一个 Python 脚本,它侦听端口 443 (https - TCP)。它通过此端口接收 JSON POST 消息。问题是它没有从外部主机接收任何东西,只从它自己那里接收。我的意思是,当我使用来自外部主机的 POSTMAN 模拟 POST 时,它从不回答:
(我用 'y.y.y.y' 屏蔽了我的服务器 IP,用 'xxxx' 屏蔽了我脚本中的令牌)
但是当我从我自己的服务器内部发送完全相同的东西时,它工作得很好。从我自己的服务器内部发送的代码:
[root@rrpump bot]# curl -v -k -X POST -H "Content-Type: application/json" -H "Cache-Control: no-cache" -d '{
> "update_id":10000,
> "message":{
> "date":1441645532,
> "chat":{
> "last_name":"Test Lastname",
> "id":1111111,
> "type": "private",
> "first_name":"Test Firstname",
> "username":"Testusername"
> },
> "message_id":1365,
> "from":{
> "last_name":"Test Lastname",
> "id":1111111,
> "first_name":"Test Firstname",
> "username":"Testusername"
> },
> "text":"/start"
> }
> }' "https://y.y.y.y/xxxx"
成功响应:
* About to connect() to y.y.y.y port 443 (#0)
* Trying y.y.y.y...
* Connected to y.y.y.y (y.y.y.y) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* subject: CN=y.y.y.y 1,O=Example Brooklyn Company,L=Brooklyn,ST=New York,C=US
* start date: Mar 06 13:54:03 2018 GMT
* expire date: Mar 06 13:54:03 2019 GMT
* common name: y.y.y.y
* issuer: CN=y.y.y.y,O=Example Brooklyn Company,L=Brooklyn,ST=New York,C=US
> POST /xxxx HTTP/1.1
> User-Agent: curl/7.29.0
> Host: y.y.y.y
> Accept: */*
> Content-Type: application/json
> Cache-Control: no-cache
> Content-Length: 392
>
* upload completely sent off: 392 out of 392 bytes
* HTTP 1.0, assume close after body
< HTTP/1.0 200 OK
< Server: WebhookHandler/1.0 Python/3.6.4
< Date: Tue, 06 Mar 2018 16:52:55 GMT
<
* Closing connection 0
已经检查它是否真正监听那个端口:
[root@rrpump bot]# lsof -i:443
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
python3.6 30644 root 8u IPv4 2785755157 0t0 TCP *:https (LISTEN)
也已经检查了 iptables(最后 'ACCEPT' 行):
[root@rrpump bot]# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
all -- anywhere anywhere
tcp -- anywhere anywhere
tcp -- anywhere anywhere tcp dpt:pcsync-https
ACCEPT tcp -- anywhere anywhere tcp dpt:pcsync-https
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
防火墙也被禁用:
[root@rrpump bot]# firewall-cmd --permanent --add-port=443/tcp
FirewallD is not running
我是 运行 它在 CENTOS 7 64 位,美国托管商 VPS 服务器上。我忘了在这里检查什么??!
在 iptables 规则中,您的脚本在 accept 规则之前有 reject 规则。它们从未被使用过,因为它们的检查顺序与 iptables 列出它们的顺序相同。所以内核首先找到匹配的 reject 规则。您必须将 reject 规则移动到 table 的末尾,或者将您的规则移动到顶部(使用 iptables -I 插入它们而不是通过 iptables -A 附加)。
或者删除 reject 规则,并将输入链的默认策略设置为 reject 或 drop).
另外请记住,内核级别的所有 table 总是有一些规则(至少是默认策略)。因此,通过禁用某些系统守护进程,您不一定会让您的主机对所有连接都完全开放。如果不确定,请始终参考 iptables --list。
哦,还有这个基于文件 /etc/hosts.allow 和 /etc/hosts.deny 内容的 accepting/rejecting TCP 连接的旧解决方案。请检查一个是否允许与 443 的连接,另一个是否被拒绝。