November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Опять загадочные грабельки

dil: (Default)
[personal profile] dil
Wednesday, June 28th, 2017 03:17 pm

В одном регионе есть некий серверочек. Нужно поднять аналогичный в другом регионе и связать с первым. Казалось бы, задачка элементарная.
Создал машинку для второго (виртуальную, хотя это не принципиально), поставил туда CentOS 7, как на первой, весь нужный софт, всё сконфигурировал, запустил, вроде работает.
Стал проверять, можно ли к нему прицепиться с первого сервера — а, блин… telnet: connect to address x.x.x.x: No route to host.
ip route get x.x.x.x показывает маршрут через default gateway, вполне логично.
Попробовал с обратной стороны — со второго к первому — успешно соединяется. Попингал обе машинки друг с друга — с обеих сторон работает. Значит, маршрутизация точно в обе стороны правильная, а чего ж маршрут-то не находится??

Видать, где-то по дороге не пускают. Проверил файрволы в обоих регионах, никаких запретов в сторону новой машинки, да и всей тамошней подсетки, вовсе нету. Да и сам-то я на неё по ssh сразу зашёл без всяких дополнительных правил, значит точно никаких запретов нету. На всякий случай добавил явное правило, чтоб туда пускали на нужный порт этого сервера, а ничего не поменялось, всё такое же No route to host.

Ну раз на внешних файрволах нету, может на самих машинках? Хотя эти машинки для сугубо внутреннего использования, так что не принято на них локальные файрволы приделывать.

На первой посмотрел iptables-save, — пусто. А вот на второй внезапно нашлась куча правил.. Разрешались входящие пакеты ICMP, а TCP только на 22 порт. Ну и RELATED,ESTABLISHED, чтоб исходящие соединения работали. Но я же там никаких правил не устанавливал, и iptables не включал.. Пошёл искать, откуда эти правила берутся, а в /etc/sysconfig/ iptables вовсе нету. И systemctl status iptables говорит, что нету такого сервиса. Погуглил, оказалось, что в CentOS7 он называется firewalld, но почему он автоматически включился, я не пойму. Я ж этот CentOS7 ставил неоднократно, но на эти грабельки раньше ни разу не наступал. Ну, как водится, обошёл их, отключив этот сервис, и всё заработало как надо..

Оригинал этой записи в личном блоге.

Tags:
Flat | Top-Level Comments Only

kranov: (Default)
[personal profile] kranov
Thursday, June 29th, 2017 01:40 am (UTC)
если ты про aws, то возможно ты выбрал специальный образ (ami), там этих образов с различными centos-ми как говна за баней, но это видно в ec2, кто был ami.
Edited 2017-06-29 01:40 am (UTC)

dil: (Default)
[personal profile] dil
Thursday, June 29th, 2017 11:13 am (UTC)
Нет, это свои виртуалки в vmware, ставил с обычной isoшки.

[identity profile] ctapnep.livejournal.com
Thursday, June 29th, 2017 05:14 am (UTC)
может оно зависит от того что ты ставишь? минимал-сервер-сервер с гуем... хотя мне казалось оно всегда ставится. И как-же этот фаерволд коряво настраивается. Если надо реально поддерживать развесистый фаер, то может оно и хорошо. Ибо в развесистом иначе таки можно запутаться. Но для простого сервера, который надо прикрыть по-быстрому и по-простому....

dil: (Default)
[personal profile] dil
Thursday, June 29th, 2017 11:15 am (UTC)
Он самый, minimal. Но я и прежде всегда с него же ставил, а файрволов не было.
Flat | Top-Level Comments Only