Connection reject bei Port 5665

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

Connection reject bei Port 5665

Beitrag von BrotherJ » 18.10.2019 13:19:51

Hi zusammen,

ich habe nach wie vor ein Firewall-Problem. Auf einem KVM-Host laufen zusätzlich zum Host noch vier VMs. Und auf dem Host soll zusätzlich ein Icinga master laufen. das funktioniert auch soweit. Nur der Icinga Client auf 192.168.1.70 bekommt keine Verbindung zu dem Icinga auf dem Host (192.168.1.66).

Ich teste das Holen des Certificats vom Host:

Code: Alles auswählen

mx:~ # openssl s_client -connect 192.168.1.66:5665
140635865412736:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
140635865412736:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111
Auf dem Host sehe ich dann in dem Firewall-Log den Reject:

Code: Alles auswählen

neckar:/etc/shorewall # shorewall show log | grep '192.168.1.66'
Oct 18 12:45:10 Shorewall:loc-fw:REJECT:IN=vmbr1 OUT= SRC=192.168.1.70 DST=192.168.1.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44700 DF PROTO=TCP SPT=42882 DPT=5665 WINDOW=29200 RES=0x00 SYN URGP=0 
Derselbe Test auf dem Host selbst funktioniert problemlos:

Code: Alles auswählen

neckar:/etc/shorewall # openssl s_client -connect 192.168.1.66:5665
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 CN = Icinga CA
verify error:num=19:self signed certificate in certificate chain
verify return:1
depth=1 CN = Icinga CA
verify return:1
depth=0 CN = neckar.germany.com
verify return:1
...
Meine Rules für tcp/5665 sehen so aus:

Code: Alles auswählen

0     0 ACCEPT     tcp  --  *      *       192.168.1.66         192.168.1.70         tcp dpt:5665
    1    60 ACCEPT     tcp  --  *      *       192.168.1.70         192.168.1.66         tcp dpt:5665

Code: Alles auswählen

 # netstat -tlpn | grep 5665
tcp        0      0 0.0.0.0:5665            0.0.0.0:*               LISTEN      3490/icinga2
Ich suche verzweifelt nach dem Grund, warum der Client in der CHAIN "loc-fw" nicht auf Port 5665 an 192.168.1.66 zugreifen darf.

Hier habe ich den Dump der Firewall mal angehängt: https://drive.google.com/open?id=1m2Sht ... gsD4zI2oOu


Beste Grüße

BrotherJ

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Connection reject bei Port 5665

Beitrag von mat6937 » 19.10.2019 09:54:51

BrotherJ hat geschrieben: ↑ zum Beitrag ↑
18.10.2019 13:19:51


[/code]

Meine Rules für tcp/5665 sehen so aus:

Code: Alles auswählen

0     0 ACCEPT     tcp  --  *      *       192.168.1.66         192.168.1.70         tcp dpt:5665
    1    60 ACCEPT     tcp  --  *      *       192.168.1.70         192.168.1.66         tcp dpt:5665
Versuch mal in der 1. Regel, mit 5665 als source-Port und nicht als dst-Port.

Das sind aber nicht alle Regeln in der ??-chain, oder? Wie ist die default policy dieser chain?

Antworten