【iptables防火墙】网站502-504错误，求助

udada

情况说明：

• 两台机器，A生产服务器（kangle web sever系统）/B测试服务器（宝塔）两者都只用了IPtables防火墙，都只开启了 22，80,443,41855（kangle后台）/8888（宝塔）四个端口，两台服务器不是高防机器所以均没有天机盾/二级盾之类的，
• A生产服务器做反代用，外面还套了一层野鸡CDN，A生产机器开iptables防火墙后SSH和kangle可以正常连接登陆，但是网站就是打不开，网站504要么502
• 在B试验机上，同防火墙设置完全没有问题，四个端口完全可用，网站正常200，不同的是，试验机器没有做反代，外面也没套CDN，直接试验源机做的测试
  

情况如上所述。
调试（初步）：

• A生产机器开iptables防火墙后，不管外面套不套那个野鸡CDN，A生产机器都curl不了源机（不开防火墙可以curl到），也就是说开iptables防火墙后A生产机器出站被限制了，但是我ipta防火墙的5个表（PREROUTING-INPUT-FORWARD -OUTPUT -POSTROUTING）全是ACCEPT开通的，我真的无语了，iptables防火墙相同设置到B试验机就完全没问题，
• cat /etc/sysconfig/iptables，检查了iptables的所有设置，没有问题，
  
  

大致排除掉的问题可能性：

• 主机服务商
• 野鸡CDN
• （猜测）A生产机的系统kangle web sever的设置原因，因为开了防火墙根本curl不到源机，出站流量被某种神秘力量阻止了
  

下图为 iptables防火墙 4表内全部的规则（除了filter全是空的，都没有DORP），


有明白的大佬，帮老弟看看嘛{:301_1005:}

234150476

可以是用除法来测试，关掉CDN，测试是否可行，关掉iptable防火墙测试是否可行，还不行就试试将生产环境的机器的配置设置等内容设置成和你可以运行的测试机一样，再不行也有可能是主机商的问题可能对端口或者协议进行了限制，最后实在不行就备份重来吧，一般来说在每一步部署都要测试下可行性再进行下一步部署，才好确定错误原因

nullable

支持楼上的思路。反正我在阿里云上面会看安全组的配置，在安全组的配置里面如果没有开放对应端口也会出现一些莫名其妙的问题。甚至最后你可能发现这个跟iptables都没有关系……

奔放的汉子

楼上的思路正解，关键还是要一步步查了

chouvick

500～一般是服务器异常，让开发帮你看看

huomavip

应该跟web服务器有关，如nginx配置问题

udada

234150476 发表于 2020-8-18 02:51
可以是用除法来测试，关掉CDN，测试是否可行，关掉iptable防火墙测试是否可行，还不行就试试将生产环境的机 ...

不开iptables防火墙啥事没有，开了iptables防火墙，用不用CDN都访问不了网站，但是可以ssh连接系统后台（kangle）也可以登录。生产环境的机器是kangle的系统，测试的是宝塔，所以没办法统一，目前基本排除主机商的原因，没有什么天机盾2级盾啥的，kangle机器开防火墙后，kangle机器curl不了源机（不开防火墙可以curl到），也就是说开iptables防火墙后服务器出站被限制了，但是我ipta防火墙的5个表（PREROUTING-INPUT-FORWARD -OUTPUT -POSTROUTING）全是ACCEPT开通的，我真的无语了，iptables防火墙相同设置到B机器（试验机）就完全没问题，

udada

huomavip 发表于 2020-8-18 18:00
应该跟web服务器有关，如nginx配置问题

生产机器开iptables防火墙后，生产机器curl不了源机（不开防火墙可以curl到），也就是说开iptables防火墙后生产服务器出站被限制了，但是我ipta防火墙的5个表（PREROUTING-INPUT-FORWARD -OUTPUT -POSTROUTING）全是ACCEPT开通的，我真的无语了，iptables防火墙相同设置到试验机就完全没问题，

小樱

这可能是服务商限制了访问，看起来你的iptables没有问题，毕竟没有涉及到DORP，等于说iptables防火墙只是个空白的摆设，
我猜因为你使用反代后，因为反代机器要和源站机器持续大量连接数进行反复通讯，服务商可能判定为攻击进行拦截