expertenaustausch > comm.software.* > comm.software.webserver

Sven Geggus (17.12.2004, 12:53)
Hallo,

ich hab da grade ein Verständnisproblem:

Warum klappt das hier problemlos:

telnet localhost 80
CONNECT somehost:someport HTTP/1.0

Das hier aber nicht:
stunnel -c -r localhost:443
CONNECT somehost:someport HTTP/1.0

Bei letzterem kommt direkt ein disconnect! Was zum Teufel versucht denn der
Apache zu zun, wenn man connect über https macht?

Macht der nicht einfach wie bei http auch einen socket zum Zielserver auf?

Sven
André Malo (17.12.2004, 14:56)
* Sven Geggus <sven-im-usenet> wrote:

> ich hab da grade ein Verständnisproblem:
> Warum klappt das hier problemlos:
> telnet localhost 80
> CONNECT somehost:someport HTTP/1.0
> Das hier aber nicht:
> stunnel -c -r localhost:443
> CONNECT somehost:someport HTTP/1.0
> Bei letzterem kommt direkt ein disconnect! Was zum Teufel versucht denn
> der Apache zu zun, wenn man connect über https macht?
> Macht der nicht einfach wie bei http auch einen socket zum Zielserver auf?


Was steht denn im Errorlog? Welche Apache-Version? etc.pp.

nd
Sven Geggus (17.12.2004, 15:13)
André Malo <auch-ich-m> wrote:

> Was steht denn im Errorlog?


wenn da etwas stünde, dann hätte ich das gepostet!

> Welche Apache-Version? etc.pp.


1.3.x

Sven
André Malo (17.12.2004, 15:42)
* Sven Geggus <sven-im-usenet> wrote:

> André Malo <auch-ich-m> wrote:
> > Was steht denn im Errorlog?

> wenn da etwas stünde, dann hätte ich das gepostet!


Kann ich ja nicht wissen! Deine Konfiguration hast du ja auch nicht
gepostet. Sag jetzt nicht, dass da keine wäre ;-)

Wie auch immer: Schade. Ich hab vermutet, dass er abschmiert.

Ich schlage vor, du startest den Apache im Single-Prozess-Modus mit gdb oder
strace und guckst, was passiert.

> > Welche Apache-Version? etc.pp.

> 1.3.x


Das ist keine Version, sondern eine ganze Familie.

nd
Sven Geggus (17.12.2004, 17:05)
André Malo <auch-ich-m> wrote:

> Kann ich ja nicht wissen! Deine Konfiguration hast du ja auch nicht
> gepostet. Sag jetzt nicht, dass da keine wäre ;-)


Die Konfigurationsdatei wäre vermutlich etwas zu länglich um sie hier zu
posten. Was die Proxy Geschichte betrifft sieht das so aus:

<IfModule mod_proxy.c>
ProxyRequests On
AllowCONNECT 22 25 443
<Directory proxy:*>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>
</IfModule>

Mit "apache -X" findet man leider auch nix raus und nichtmal ltrace gibt nen
Hinweis.

Warum ich die Konfiguration nicht gepostet habe ist einfach, ich denke
nicht, dass ich ein Konfigurationsproblem habe sondern ein
Verständnisproblem, dass mir die Apache Doku zu mod_proxy leider nicht
ausreichend beantwortet.

> Ich schlage vor, du startest den Apache im Single-Prozess-Modus mit gdb
> oder strace und guckst, was passiert.


Tja, siehe oben, der macht nen strcmp mit "ssl" und kurz danach einen
disconnect der Client-verbindung, ich fürchte ich muss da mal in den Code
reinschaun.

>> > Welche Apache-Version? etc.pp.

>> 1.3.x

> Das ist keine Version, sondern eine ganze Familie.


1.3.26-0woody6

Derzeitige Standardversion aus Debian woody - besser so?

Sven
André Malo (17.12.2004, 17:39)
* Sven Geggus <sven-im-usenet> wrote:

> Die Konfigurationsdatei wäre vermutlich etwas zu länglich um sie hierzu
> posten. Was die Proxy Geschichte betrifft sieht das so aus: [...]


Ok.

> Mit "apache -X" findet man leider auch nix raus und nichtmal ltrace gibt
> nen Hinweis.
> Warum ich die Konfiguration nicht gepostet habe ist einfach, ich denke
> nicht, dass ich ein Konfigurationsproblem habe sondern ein
> Verständnisproblem, dass mir die Apache Doku zu mod_proxy leider nicht
> ausreichend beantwortet.


Ich halte das für einen Bug in mod_ssl. Der Apache schließt regulär *nie*
einfach eine Verbindung. Eine Fehlermeldung ist das Mindeste. Da auch kein
Eintrag im Errorlog stattfindet, vermute ich eben einen Absturz. Ich denke
mal, es gibt auch keinen access_log-Eintrag, oder? Das würde diese These
bestätigen.

> > Ich schlage vor, du startest den Apache im Single-Prozess-Modus mit gdb
> > oder strace und guckst, was passiert.

> Tja, siehe oben, der macht nen strcmp mit "ssl" und kurz danach einen
> disconnect der Client-verbindung, ich fürchte ich muss da mal in den Code
> reinschaun.


strace oder gdb != ltrace.
Ja, guck mal in den Code.

> Derzeitige Standardversion aus Debian woody - besser so?


Ja, danke. Ansonsten ist bei mir der Default nämlich die aktuelle vanilla
from source (1.3.33 / 2.0.52).

nd
Sven Geggus (18.12.2004, 18:34)
André Malo <auch-ich-m> wrote:

> strace oder gdb != ltrace.
> Ja, guck mal in den Code.


Letzteres steht noch aus, aber vielleicht hilft das hier:

HTTP/1.0 200 Connection established
Proxy-agent: Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 mod_ssl/2.8.9
OpenSSL/0.9.6c DAV/1.0.3 mod_dtcl

4266:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
number:s3_pkt.c:286:

Sieht wirklich fast wie ein bug in mod_ssl aus.

Gibts da irgendwie changelogs, welche bugs gefixt wurden? Vielleicht lohnt
es sich ja einen neueren 1.3er Apache aus den Quellen selbst zu compilieren.

Sven
Bastian Blank (19.12.2004, 13:15)
Sven Geggus wrote:
> 4266:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
> number:s3_pkt.c:286:
> Sieht wirklich fast wie ein bug in mod_ssl aus.


Nö, ist keiner. Der Fehler ist in deiner immer noch nicht gezeigten
Konfiguration.

> Gibts da irgendwie changelogs, welche bugs gefixt wurden?


/usr/share/doc/apache*/changelog.gz reicht nicht?

> Vielleicht lohnt
> es sich ja einen neueren 1.3er Apache aus den Quellen selbst zu compilieren.


Wenn du uns dann hier alleine läst? Sicher.

Bastian
Ähnliche Themen