質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.02%

  • CentOS

    2346questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

AWSで、SELinuxをPermissive、firewalldをstopにしても外部から接続できない

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 806

前提・実現したいこと

CentOS 7.1で、ネットワークの外部から9999番ポートにアクセスしたいです。
開放する理由は、9999番ポートでApacheを使用するためです。

細かく言うとこのApacheの上でNagiosを動かしたい感じです。Nagiosを動かすためのApacheです。
また、80番ポートではnginxで別サーバが立ち上がっています。

 今の状態

・80番(HTTP)や22番(SSH)では問題なくつながっている。
・100日ほど前はこんなめんどくさいことをやらなくても9999番ポートに普通につながっていた。

CentOSのバージョンは以下

[ec2-user@ip-10-0-3-98 ~]$ cat /etc/centos-release
CentOS Linux release 7.1.1503 (Core)

firewalldは停止しています。

[ec2-user@ip-10-0-3-98 ~]$ sudo systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)

11月 07 11:16:59 ip-10-0-3-98 systemd[1]: Starting firewalld - dynamic firewall daemon...
11月 07 11:17:00 ip-10-0-3-98 systemd[1]: Started firewalld - dynamic firewall daemon.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: ICMP type 'beyond-scope' is not supported by the kernel for ipv6.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: beyond-scope: INVALID_ICMPTYPE: No supported ICMP type., ignoring for run-time.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: ICMP type 'failed-policy' is not supported by the kernel for ipv6.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: failed-policy: INVALID_ICMPTYPE: No supported ICMP type., ignoring for...-time.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: ICMP type 'reject-route' is not supported by the kernel for ipv6.
11月 07 11:17:01 ip-10-0-3-98 firewalld[1991]: WARNING: reject-route: INVALID_ICMPTYPE: No supported ICMP type., ignoring for run-time.
11月 07 11:19:05 ip-10-0-3-98 systemd[1]: Stopping firewalld - dynamic firewall daemon...
11月 07 11:19:06 ip-10-0-3-98 systemd[1]: Stopped firewalld - dynamic firewall daemon.
Hint: Some lines were ellipsized, use -l to show in full.

SELinuxはPermissiveです

[ec2-user@ip-10-0-3-98 ~]$ sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

あまり意味がないと思いますが、iptablesのlistは以下のとおりです

[ec2-user@ip-10-0-3-98 ~]$ sudo iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:webcache
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:distinct

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


EC2のセキュリティグループはもちろん次の通りの設定です。
イメージ説明

試したこと

サーバから

[ec2-user@ip-10-0-3-98 ~]$ curl --head http://localhost:9999
HTTP/1.1 403 Forbidden
Date: Tue, 07 Nov 2017 03:36:50 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.4.16
Last-Modified: Thu, 16 Oct 2014 13:20:58 GMT
ETag: "1321-5058a1e728280"
Accept-Ranges: bytes
Content-Length: 4897
Content-Type: text/html; charset=UTF-8


では問題なくレスポンスが返ります。ステータスコードが403なのは問題ないです。

nmapでは以下が返却されます。

[ec2-user@ip-10-0-3-98 ~]$ nmap localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2017-11-07 12:31 JST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0010s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 990 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
443/tcp  open  https
3306/tcp open  mysql
5555/tcp open  freeciv
8000/tcp open  http-alt
8080/tcp open  http-proxy
9200/tcp open  wap-wsp
9999/tcp open  abyss

ちゃんと開いてます。

 クライアントから

~ nmap 【グローバルIPアドレス】

Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-07 12:32 JST
Nmap scan report for ec2-【グローバルIPアドレス】.ap-northeast-1.compute.amazonaws.com (【グローバルIPアドレス】)
Host is up (0.044s latency).
Not shown: 993 filtered ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
81/tcp   open  hosts2-ns
443/tcp  open  https
8000/tcp open  http-alt
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 8.16 seconds

なぞに9999番が閉じられていました。

curl http://【グローバルIPアドレス】:9999
curl: (7) Failed to connect to 【グローバルIPアドレス】 port 9999: Operation timed out

つながらない。

補足情報

ちなみに8080番もつながらないです。
こっちはnmapで開放できてるのになぜなのかわかりませんが、直面している問題に直接関係ないので、解決できればいいなぐらいです。

そして謎にこっちはGateway Timeoutです

[ec2-user@ip-10-0-3-98 ~]$ curl http://localhost:8080
🐹 It works!!
~ curl http://【グローバルIPアドレス】:8080
<HTML>[504] Gateway Timeout</HTML>

 その他

何か他に設定の見直し等あればツッコミ入れていただきたいです。

 追記

/etc/hosts.denyは以下のように特に設定されていません。

[ec2-user@ip-10-0-3-98 ~]$ cat /etc/hosts.deny
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

check解決した方法

+1

VPCのネットワークACLも見ましたが、特に設定には問題ありませんでした。

イメージ説明
イメージ説明

またEC2を再起動(「再起動」コマンドではなく、一度「停止」してから「起動」した)なども試みましたが何も変化せず。

もうこれ以上調べるところなくない?と思っていたら、「ベンダのファイアウォール」という文字を見かけたので調査したところ、DeepSecurityというセキュリティ対策ソフトが入っており、それがファイアウォール機能を持っていたため、アンインストールしました。

$ sudo yum erase ds_agent

これで悲しいぐらい呆気なく動きました。
100日前に動いていたのは、100日前にDeepSecurityを導入したからだと思います。どうしてこんなになるまでほうっておいたんだ。

お騒がせしました(´・ω・;)

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 91.02%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    C言語のregex.hライブラリを使っての正規表現がうまくいきません。

    ポートスキャンツールnmapコマンドの結果から正規表現で、ある行を抽出したいのですが、それがうまくいきません。 使用言語はc言語で、regex.hというc言語の正規表現ライブラリ

  • 解決済

    vagrantにて作成した環境でXdebugがうまく起動しない

    前提・実現したいこと Vagrantで作成した環境に接続してEclipseでXdebugを使用しステップ実行を行いたいと思っています。 現在下記のvagrantを使用し環境

  • 解決済

    CentOS7 Firewalld について

    前提・実現したいこと 現在、サーバ更改に伴い、CentOS6から7への更改を検討しております。 NW機器のFWがない環境のため、現在iptablesで行っている フィルタリン

  • 解決済

    ipvsadmのタイムアウト設定が再起動すると戻ってしまう

    ipvsadm でコマンドによりタイムアウト時間を変更し、その後サーバを再起動すると元に戻ってしまいました。 再起動後も設定を維持する方法はありますでしょうか。 1.パ

  • 解決済

    ipアドレスを入力してもブラウザが表示されません。

    前提・実現したいこと ブラウザにipアドレスを入力して初期画面を表示したい。 teratermを起動したい。(また閉じてしまいました…) 発生している問題・エラーメッセー

  • 解決済

    portを開けずapacheを表示できません。

    前提・実現したいこと apacheを表示したいです。 表示したい画面 現状 該当のソースコード 問題はポートを開けていないことだと思うのですが、 う

  • 解決済

    coffeescriptが思うように動きません

    わからないこと 前にjsで書いたものをcoffeescriptで書いてみましたが思うように動きません。 今起きていること ・なぜかチカチカします。(描かれてすぐ消えている

  • 解決済

    Ubuntu, Apache にtcp80番で繋がらない

    さくらのVPSを使って簡単なWEBサーバを構成しようとしています。外部からサーバに接続することができず、原因がわかりません。何かヒントをお持ちの方は、お教えいただけると幸いです。

同じタグがついた質問を見る

  • CentOS

    2346questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。