apache problem (oder netzwerk?) unter leap15.1

Hinweis: In dem Thema apache problem (oder netzwerk?) unter leap15.1 gibt es 10 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hallo,


    nach Neuinstallation von Leap15.1 habe ich ein Problem mit apache2 (oder der Netzwerkkonfiguration?). Während auf localhost alles normal ist
    kann ich über das WLAN von meinem Laptop (Linux) via Firefox zwar auf mein public_html Verzeichnis auf dem Hauptrechner zugreifen und kann z.B.
    alle Dateien und Verzeichnisse sehen, sobald ich aber versuche eine Datei zu öffnen passiert rein gar nichts. Nur sehr kleine (wenige Zeilen lange )
    Textdateien werden im Browserfenster angezeigt. Bei größeren Dateien passiert nix - es gibt auch keine Fehlermeldung. Wenn ich das gleiche von meinen iphone mit Chrome versuche, ist es das gleiche, kleine Textdateien werden angezeigt, größere nicht, ich bekomme hier aber zusätzlich jetzt die Meldung "Website nicht erreichbar - remote host hat die Verbindung unerwartet geschlossen". Ping und ssh funktionieren von beiden Seiten aus normal.


    Hat jemand eine Idee, was hier los sein könnte? An der apache-Standard-Konfiguration (via YAST) habe ich nichts geändert


    Freue mich über jede Hilfe
    hajo

    Für den Inhalt des Beitrages 136913 haftet ausdrücklich der jeweilige Autor: hajix

  • Moin zusammen,


    logfiles are admins best friend.
    Ergo, nachlesen was in den Apache (error) Logs zu dem Thema steht. Das sind im Übrigen noch echte Textdateien in der Logpartition/Logverzeichnis. Da muss man nicht über den journald gehen.


    so ins Blaue geschossen würde ich vermuten, dem Indianer fehlen ein paar Module.

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 136914 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Danke Tamerlain,


    aber in den logfiles ist nichts auffällig. Hier das error_log


    [Mon Nov 11 13:13:21.436576 2019] [ssl:warn] [pid 2883] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
    [Mon Nov 11 13:13:21.442194 2019] [mpm_prefork:notice] [pid 2883] AH00163: Apache/2.4.33 (Linux/SUSE) OpenSSL/1.1.0i-fips PHP/7.2.5 configured -- resuming normal operations
    [Mon Nov 11 13:13:21.442228 2019] [core:notice] [pid 2883] AH00094: Command line: '/usr/sbin/httpd-prefork -D SYSCONFIG -C PidFile /var/run/httpd.pid -C Include /etc/apache2/sysconfig.d//loadmodule.conf -C Include /etc/apache2/sysconfig.d//global.conf -f /etc/apache2/httpd.conf -c Include /etc/apache2/sysconfig.d//include.conf -D SYSTEMD -D FOREGROUND'



    Im access_log werden lediglich die Zugriffe korrekt wieder gelistet.

    Für den Inhalt des Beitrages 136916 haftet ausdrücklich der jeweilige Autor: hajix

  • Moin zusammen,


    hmm ... also mir fällt schonmal das Warning auf dass SSLSessionCache nicht richtig tut.


    Kannst Du keine html Seite anzeigen von extern?


    - Was sagt die Firewall (iptables -L ausführen und das Ergebnis posten).
    - Was sagt apache2ctl configtest (ausführen und Ergebnis posten).
    - Definiere 'Dateien' - sind das text Dateien oder Bilddateien? Pdfs?

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 136917 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Die Warnung ist mir auch aufgefallen, habe dann aber folgendes gefunden


    Apache/2.2.13 complains Session Cache is not configured [hint: SSLSessionCache]
    ...
    Ignore the warning about
    session cache. That's just informational, and points to the fact that
    mod_ssl is loaded but neither used nor configured. (The session cache
    would automatically be configured and used as soon as you start the
    Apache with -D SSL, which means to switch on the SSL/TLS machinery. You
    do that by editing /etc/sysconfig/apache2.)


    Dateien sind image-dateien, pdf's egal was. Nur kurze text-dateien, die direkt im browserfenster angezeigt werden
    werden übermittelt.


    hajo@halimash3:~> sudo apache2ctl configtest
    Syntax OK


    iptables -L habe ich an den Schluss gehängt


    Hallo Sterum


    Danke für die Links, bis auf den ersten bin ich auch schon drauf gestossen. Beide haben leider nicht geholfen
    die Warnung abzustellen, wenn ich den Hinweis oben richtig interpretiere, ist das aber auch nicht zu erwarten,
    solange ich keine Verschlüsselung verwende.


    Hier noch der firewall output, etwas länglich...
    hajo@halimash3:~> sudo iptables -L
    [sudo] Passwort für root:
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
    ACCEPT all -- anywhere anywhere
    INPUT_direct all -- anywhere anywhere
    INPUT_ZONES_SOURCE all -- anywhere anywhere
    INPUT_ZONES all -- anywhere anywhere
    DROP all -- anywhere anywhere ctstate INVALID
    REJECT all -- anywhere anywhere reject-with icmp-host-prohibited



    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
    ACCEPT all -- anywhere anywhere
    FORWARD_direct all -- anywhere anywhere
    FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere
    FORWARD_IN_ZONES all -- anywhere anywhere
    FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere
    FORWARD_OUT_ZONES all -- anywhere anywhere
    DROP all -- anywhere anywhere ctstate INVALID
    REJECT all -- anywhere anywhere reject-with icmp-host-prohibited



    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    OUTPUT_direct all -- anywhere anywhere



    Chain FORWARD_IN_ZONES (1 references)
    target prot opt source destination
    FWDI_public all -- anywhere anywhere [goto]



    Chain FORWARD_IN_ZONES_SOURCE (1 references)
    target prot opt source destination



    Chain FORWARD_OUT_ZONES (1 references)
    target prot opt source destination
    FWDO_public all -- anywhere anywhere [goto]



    Chain FORWARD_OUT_ZONES_SOURCE (1 references)
    target prot opt source destination



    Chain FORWARD_direct (1 references)
    target prot opt source destination



    Chain FWDI_public (1 references)
    target prot opt source destination
    FWDI_public_log all -- anywhere anywhere
    FWDI_public_deny all -- anywhere anywhere
    FWDI_public_allow all -- anywhere anywhere
    ACCEPT icmp -- anywhere anywhere


    Chain FWDI_public_allow (1 references)
    target prot opt source destination



    Chain FWDI_public_deny (1 references)
    target prot opt source destination



    Chain FWDI_public_log (1 references)
    target prot opt source destination



    Chain FWDO_public (1 references)
    target prot opt source destination
    FWDO_public_log all -- anywhere anywhere
    FWDO_public_deny all -- anywhere anywhere
    FWDO_public_allow all -- anywhere anywhere



    Chain FWDO_public_allow (1 references)
    target prot opt source destination



    Chain FWDO_public_deny (1 references)
    target prot opt source destination



    Chain FWDO_public_log (1 references)
    target prot opt source destination



    Chain INPUT_ZONES (1 references)
    target prot opt source destination
    IN_public all -- anywhere anywhere [goto]



    Chain INPUT_ZONES_SOURCE (1 references)
    target prot opt source destination



    Chain INPUT_direct (1 references)
    target prot opt source destination



    Chain IN_public (1 references)
    target prot opt source destination
    IN_public_log all -- anywhere anywhere
    IN_public_deny all -- anywhere anywhere
    IN_public_allow all -- anywhere anywhere
    ACCEPT icmp -- anywhere anywhere



    Chain IN_public_allow (1 references)
    target prot opt source destination
    ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW
    ACCEPT tcp -- anywhere anywhere tcp dpt:http ctstate NEW
    ACCEPT tcp -- anywhere anywhere tcp dpt:https ctstate NEW



    Chain IN_public_deny (1 references)
    target prot opt source destination



    Chain IN_public_log (1 references)
    target prot opt source destination



    Chain OUTPUT_direct (1 references)
    target prot opt source destination

    Für den Inhalt des Beitrages 136921 haftet ausdrücklich der jeweilige Autor: hajix

  • Bitte benutze Code-Tags, siehe hier meine Signatur unter diesem Text.


    Macht alles einfach einfacher.....

    Für den Inhalt des Beitrages 136922 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Moin zusammen,


    also Deine Firewall schaut mir extrem durcheinander aus.


    Schau Dir nur mal Deine Chain IN_public an ....
    erst verbietest du ALLES um hinterher ALLES zu erlauben.


    Die Chains sollten zudem auf DROP stehen und nicht auf ACCEPT. Sonst hebelst Du die ureigene Firewall Funktion aus, die ja eigentlich ALLES verbieten soll, was Du nicht EXPLIZIT ERLAUBST.


    Das macht so wenig Sinn.


    Du solltest auch nicht mit icmp-host-prohibited verweigern (denn so weiss ein Angreifer 2 Dinge: 1. den Host gibts und 2. der Port ist durch ne Wall geschützt) sondern mit icmp-port-unreachable (sprich tue so als ob an dem Port nix lauscht).


    Ich würde in 1. Näherung erst mal die Firewall komplett ausmachen und schauen ob Du dann Dateien via http geladen bekommst.

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 136923 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Abschalten der firewall ändert nix, hatte ich schon probiert


    Tamberlain - danke für die Hinweise. Ich habe die firewall nicht selbst konfiguriert,
    sondern die Standardeinstellungen gelassen wie sie mit leap15.1 kommen. Ich habe lediglich
    den port für apache2 via YAST geöffnet. Muss ich mir wohl anschauen - aber am apache problem
    ändert es nix

    Für den Inhalt des Beitrages 136924 haftet ausdrücklich der jeweilige Autor: hajix

  • Schau Dir nur mal Deine Chain IN_public an ....
    erst verbietest du ALLES um hinterher ALLES zu erlauben.

    @Tamerlain
    Meintest du diesen Teil?

    Sieht bei mir gleich aus:

    Code
    Chain IN_public (2 references)
    target     prot opt source               destination         
    IN_public_log  all  --  anywhere             anywhere            
    IN_public_deny  all  --  anywhere             anywhere            
    IN_public_allow  all  --  anywhere             anywhere            
    ACCEPT     icmp --  anywhere             anywhere

    Oder hast du hier einen grundsätzlichen Fehler aufgedeckt?

    Für den Inhalt des Beitrages 136925 haftet ausdrücklich der jeweilige Autor: sterun