Apache und dessen Sorgen

[zockerforen]

Tach jesacht

ich hätte da mal 2-5 Fragen und hoffe das ich hier einige Antworten bekomme.

Zu meinem Server : Ubuntu 14.04 LTS mit ISPConfig 3.0.5.4p5
1 Netzwerkkarte , 4 IPs.
Name der Netzwerkkarte : p10p1 und ich denke hier fangen schonmal die Probleme an.
Bastille aktivieren ? Besser nicht, da hier nur die Karte eth+ und einige sinnlose wie pp0+ wlan+ vlan+ usw. drin sind. Schmerzliche Erfahrung :
Nach Aktivierung der Firewall aus ISPConfig heraus, kein Zugriff mehr möglich auf den Server. Alles Dicht. Blieb nur per Recovery die Bastille Firewall zu deaktivieren.

Dann zum Apache .
Hier wird erstmal *:80 eingetragen, was absoluter Quark ist, denn nicht alle IPs werden von ISPConfig betreut. Somit geht die fehlersuche los. Sobald man was anlegen will, auf einer IP was nichts mit Apache zu tun hat sondern einfach nur Port 80 nutzen soll, nicht möglich da bereits benutzt. hier sollte man, wenn man schon den Hostnamen vor der Installation von ISPConfig festlegt, auch diesen nutzen. Will sagen :
servername1.example.com -> hostname
192.168.1.100 -> ip von servername1.example.com
Installation ISPConfig : servername1.example.com:8080 -> 192.168.1.100:8080 -> IspConfig Panel
servername1.example.com:80 ->bzw. 192.168.1.100:80 / 443 Standard Webserver und nicht *:80 *:443
Erstmal alle IPs blockieren mit dem Apache ist leider nicht besonders toll.
Somit kann man keine anderen Projekte laufen lassn auf Port 80 oder 443 ohne das man an sämtlichen Konfigurationen rumfummeln muss.

Wo wir dann auch bei der Überwachung wären . Denn diese funzt nicht, wenn man den Apachen , auf eine IP legt die anders lautet als 127.0.0.1 denn ich hab den Eindruck das nur diese abgefragt wird für die Dienstprüfung. Mein Server läuft nun auf einer externen IP und nicht mehr auf *:80 oder *:443 denn das blockiert andere Projekte wie redmine, bzw. Gitlab usw. Da auch diese sowas wie nen Apache oder nginx mitbringen.

Firewall Bastille -> bitte bei aktivierung prüfen ob es anders benamte Netzwerkkarten gibt als eth+ und diese bei den entsprechenden Interfaces eintragen. PUBLIC_IFACES="p10p1+" in meinem Falle

Es wäre toll wenn dies mit berücksichtig werden könnte

So wünsche noch ein schönen restlichen 2 Weihnachtstag

Zocki

 

[F4RR3LL]

Zum Apache, ist halt die default Einstellung, kannste doch im Interface anpassen. Kannst genau deine IPs festlegen, oder hab ich das nun mißverstanden?

Zum Thema Firewall und Überwachung kann ich nix sagen, da ich beides nicht nutze.

Gruß Sven

 

[zockerforen]

Ja da hast mich mißverstanden. Es geht nicht um die Einstellungen der IPs im Interface, sondern darum das ISPConfig während der Installation die * Einstellungen der Default directrive im apache nicht ändern. Stnadardmäßig wir dann das PAnel von ISPC auf *:8080 gelegt, anstelle der IP des Rechnernamens FQDN wo es installiert werden soll.
Beispiel :
FQDN den man ja zur Vorbereitung einstellt : server1.example.com IP dazu : 192.168.1.100
IP Adress 1 : 192.168.1.100
IP Adress 2 : 192.168.1.101
IP Adress 3 : 192.168.1.102

Apache läuft nach der Installation der Vorbereitungen für ISPC auf *:80 und *:443 mag auch bei einer IP funktionieren ohne ISPC kein Ding da stellt man eh alles von Hand ein. Allerdings Leute die eben nich wirklich Plan davon haben und dann evtl. sowas wie GitLab oder Trac oder Redmine nutzen wollen sind angeschi**en da sie die Kiste nicht ans laufen kriegen da ja bereits Port 80 auf allen IPs belegt ist. Ebenfalls Port 8080 und 443

So ISPC wird nun installiert, und ändert an den Standardeinstellungen nix, eher im Gegenteil es kommt noch Port 8080 auf allen IPs hinzu .
Sinniger wäre es bei der Installation zu fragen : welche IP für das Panel und welche Domain läuft da. In dem oben beschriebenen Beispiel :
server1.example.com IP 192.168.1.100 Auf allen anderen eben nicht. feddich.

Zum Thema Überwachung:
Damit ist interne Diensüberwachung von ISPC gemeint die tatsächlich nur 127.0.0.1 bei httpd abhorcht und dann Fehler meldet weils auf 127.0.0.1 keinen server gibt der antwortet, da in meinem Fall ich das *:80 und *:443 rausgenommen habe.

Ich hoffe ich konnte das nun verständlicher erläutern.

Mfg-
Zocki

 

[nowayback]

Ich glaube du verstehst da irgendwas falsch.
Auf Grund von SNI kann man problemlos mehrere Domains pro IP und Port laufen lassen. Wenn ich jetz im ISPConfig eine Domain anlege für gitlab (z.B.: gitlab.example.com) und die 3. IP Adresse dieser Website zuweise (Dein Beispiel: 192.168.1.102) habe ich überhaupt keine Probleme mit der Installation von Gitlab (Vorausgesetzt: Ich habe allen Websites eine IP zugewiesen und verwende nirgends das Sternchen. Dabei spielt es auch keine Rolle (SNI) ob eine IP mehrmals vergeben wurde.).
Dass das Interface auf allen IP's "lauscht" ist in der Praxis meist sinnvoller als es an eine feste IP zu binden, aber das kannst du ja einfach in dem entsprechenden Vhost ändern und fertig. Ist ne einmalige Angelegenheit und sollte kein Problem darstellen.

 

[zockerforen]

Hi auch ,
danke erstmal für die Antwort.
Nein genau das geht eben nicht. Mit gitlab probiert, ließ sich nicht starten da auf der IP auf Port 80 der Apache gelauscht hat. Ich habs ja grad durch und nachdem ich das Panel auf ne IP gebunden hab und die * Geschichten rausgenommen gehts.
Das Problem scheint hier zu sein, das der Apache auf dem ISPConfig läuft das beherrscht, klar sonst gäbe es keine VHosts, aber der mitgelieferte webserver von Gitlab der ja durch die Installation eben auf die eine IP mit Port 80 lauschen will, das nicht interessiert ob der Apache läuft oder nicht. Der merkt Port xyz auf IP bla ist belegt, Fehlermeldung cant create socket because Port 80 allready in use.

Das es auf die manuelle Art geht, weiß ich , ich habs ja durch, es geht nur darum das man die Möglichkeit schaffen könnte das per ISPC einstellbar zu machen oder ebenbei der Installlation festlegen könnte.