Apache2: Reverse Proxy funktioniert nicht

Hallo liebe Community,

ich möchte einen ReverseProxy einrichten, damit der Port 9001 mit pad.domain.de:80 ansprechbar wird. Es handelt sich dabei um ein Etherpad. Auf meinem vServer läuft das problemlos, nun hab ich aber einen Root-Server hinter einer Firewall und einem internen Netzwerk mit der IP 10.98.2.1 und einer Domain nach dem Muster abteilung.firma.de mit einer im Internet auflösbaren IP-Adresse abteilung.firma.de=217.217.217.217 (Beispiel). Diese vHost-Config führt zu nichts:

<VirtualHost *:80>
LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so
LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so
LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so
LoadModule deflate_module /usr/lib/apache2/modules/mod_deflate.so
ProxyVia On
ProxyRequests Off
ProxyPass / http://localhost:9001/
ProxyPassReverse / http://localhost:9001/
ProxyPreserveHost on
<Proxy *>
Options FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Proxy>
</VirtualHost>

Wo liegt das Problemm? Kann mir jemand helfen?

Cheers,
Homer

Please also mark the comments that contributed to the solution of the article

Content-Key: 276983

Url: https://administrator.de/contentid/276983

Printed on: April 26, 2024 at 02:04 o'clock

5 Comments

Latest comment

Nur nochmal doof nachgefragt weil das aktuelle Design etwas verwirrend geschildert ist:

Der produktive Server auf dem es nun laufen soll sitzt mit einer 10.98.2.1 /24 IP im lokalen Netz.
Die Firewall davor macht statisches NAT von der öffentlichen IP 217.217.217.217 auf die interne IP 10.98.2.1 damit diese interne IP des Servers von außen erreichbar ist.
Die Firewall filtert TCP 80, sprich lässt einzig TCP 80 Traffic auf diese NAT IP von außen passieren ?

Ist das so richtig ?
Wenn ja:

Was sagt ein tcpdump port 80 auf dem Server ? Kommt da überhaupt TCP 80 Traffic von außen via FW an ?

Wenn nein wie sieht das Design sonst aus ?

Ja, aqui, da hast du recht, erste Variante alles ja! Hier die Daten des tcpdump:

root@server:/etc/apache2/sites-available# tcpdump port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:36:29.801416 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [S], seq 514543034, win 14600, options [mss 1460,sackOK,TS val 262100713 ecr 0,nop,wscale 7], length 0
14:36:29.801826 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [S.], seq 331394066, ack 514543035, win 28960, options [mss 1460,sackOK,TS val 14667549 ecr 262100713,nop,wscale 7], length 0
14:36:29.814415 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 1, win 115, options [nop,nop,TS val 262100717 ecr 14667549], length 0
14:36:29.847140 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 1:229, ack 1, win 115, options [nop,nop,TS val 262100725 ecr 14667549], length 228
14:36:29.847203 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [.], ack 229, win 235, options [nop,nop,TS val 14667560 ecr 262100725], length 0
14:36:29.850493 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 1:523, ack 229, win 235, options [nop,nop,TS val 14667561 ecr 262100725], length 522
14:36:29.863676 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 523, win 123, options [nop,nop,TS val 262100729 ecr 14667561], length 0
14:36:29.866698 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [P.], seq 229:770, ack 523, win 123, options [nop,nop,TS val 262100730 ecr 14667561], length 541
14:36:29.867098 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [P.], seq 523:989, ack 770, win 244, options [nop,nop,TS val 14667565 ecr 262100730], length 466
14:36:29.880946 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [F.], seq 770, ack 989, win 131, options [nop,nop,TS val 262100733 ecr 14667565], length 0
14:36:29.881114 IP 10.98.0.1.http > astaro.abteilung.local.42903: Flags [F.], seq 989, ack 771, win 244, options [nop,nop,TS val 14667569 ecr 262100733], length 0
14:36:29.893561 IP astaro.abteilung.local.42903 > 10.98.0.1.http: Flags [.], ack 990, win 131, options [nop,nop,TS val 262100736 ecr 14667569], length 0
^C
12 packets captured
13 packets received by filter
0 packets dropped by kernel

Mmmhhh....da stimmt aber was nicht !
Du siehst ja ganz deutlich das die Absender IP astaro.abteilung.local ist, also die lokale IP Adresse der Astaro Firewall selber !
Wenn du die DNS Auflösung im tcpdump abschaltest mit tcpdump -n port 80 kannst du das auch sehen.
Hier sollte aber eigentlich die Absender IP des externen HTTP Clients stehen, denn dahin sollen ja die Antwortpakete des Servers wieder zurück.
Sieht auf den ersten Blick nach einem Problem im 1:1 NAT der FW aus.
Ggf. kannst du mit tcpdump -n src net x.y.0.0/16 and port 80 den Output noch etwas filtern um nicht ggf. lokalen Traffic des Servers mit der FW noch einzufangen.
Wenn du weisst in welchem IP Netz sich der externe Client befindet kann man das mit x.y.0.0/16 oder gröber mit x.0.0.0/8 noch weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.

Wenn du weisst in welchem IP Netz sich der externe Client befindet kann man das mit x.y.0.0/16 oder gröber mit x.0.0.0/8 noch
weiter filtern.
Wenn du mit dem Client auf http://www.wieistmeineip.de// surfst siehst du dessen externe, öffentliche IP.

Danke schonmal! Die öffentliche IP kenne ich. Meinst du, die Astaro ist falsch konfiguriert?

Das sieht ganz danach aus !

German solved Question Webserver Linux

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments