首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

为什么PostgreSQL的端口访问不了了,是配置错误还是防火墙原因

文摘   科技   2024-10-06 06:01   北京  

我是【Sean】,  欢迎大家长按关注并加星公众号:数据库杂记。有好资源相送,同时为你提供及时更新。同时建了一个群: 数据库Hacker。 可以联系我微信邀请进群。已关注的朋友,发送0、1到7,都有好资源相送。
快速扫码入群:

个人微信:_iihero
CSDN: iihero
墨天轮:https://www.modb.pro/u/16258 (Sean)

pgfans: iihero


前言

前几天,碰到有人问起一个PG配置完成以后,无论怎么改,都不能通过另一台机器访问的问题。

该问题直接上图:


他们的内网,分两个网段,testA和testB位于192.168.40.*,  而testC位于192.168.30.*。现在的问题是, testA和testB可以访问testC,反过来则不行,一直hang在那里。

psql -h192.168.40.16 -p5432 -Upostgres
直接超时

分析过程

光看前边的描述,有一个本能的直觉,就是testA和testB提供的PG服务端口,没有成功的暴露出来,那么到底是PG本身的hba配置不对呢,还是操作系统有防火墙的相关配置,没有将相应的端口开放出去?

如何排错?

因为都相当于是远程提问,无法直接测试。所以,尽量的多提供些上下文,便能得到更多的信息。

1、testA, testB可以与testC相互ping

2、甚至用ssh也可以登录正常。

3、hang出现的现象是:

$ psql -h192.168.40.16 -p5432 -Upostgrespsql
:error: could not connect to server
: Connection timed outIs the server running on host "192.168.40.16" and acceptingTCP/IP connections on port 5432?

而testA使用访问testC,则直接能连接成功。

postgres@testA pg16data]$ psql -h192.168.30.18 -p5432 -Upostgres
Password for user postgres:

附加的上下文信息

让提问的朋友提供testA/B/C的hba及主配置postgresql.conf相关配置项,大概是这样的:

hba.conf

testC的配置如下:

testC

testA/testB:

testA/testB

testB:

testB

postgresql.conf主配置

再看主配置文件里头的监听地址信息:

postgres=#\dconfig listen_addresses
List of configuration parameters
Parameter 			| Value
-----------------------------------------
listen addresses    | *,localhost
(1 row)
postgres=#

又给出了testC的详细的规则信息:

testC

防火墙及网关

甚至防火墙的相关配置也给出了:

防火墙

网关信息:

网关

因为上边提供的只是iptables以及常用的firewall服务,不能完全证明PostgreSQL的端口是不是真正被block住。

从上边的配置来看,pg_hba.conf并没有刻意去阻塞访问,相反,testA, testB都开放了所有IPV4的访问,使用md5方法来验证用户密码。

host all all 0.0.0.0/0 md5

然后,listenning address为 *,localhost,那相当于是对所有IP都开放,包括IPV6。虽然这里头的"localhost"项完全是多余的。但也不会造成错误。注意,此处真正起作用的是前边的"*",  如果有时间,你可以自行验证。如果你设置的是"localhost, *",那么真正起作用的是localhost。

具体验证

一般而言,如果只是hba配置文件里头没有对应项或者对应项不通过,都不会是hang的错误,应该是很快就有一个错误信息,表示没有认证项。

例如:

pg_hba.conf文件内容如下:

local   all             all                                     reject
host    all             all             127.0.0.1/32            reject
host    all             all             samenet                 scram-sha-256

如果应用此规则 ,表示本机的unixsocket或者127.0.0.1,都拒绝访问。

[18:00:38-postgres@centos1:/var/lib/pgsql/14/data]$ pg_ctl reload
server signaled
[18:00:40-postgres@centos1:/var/lib/pgsql/14/data]$ psql
psql: error: connection to server on socket "/var/run/postgresql/.s.PGSQL.5555" failed: FATAL:  pg_hba.conf rejects connection for host "[local]", user "postgres", database "postgres", no encryption

[18:01:49-postgres@centos1:/var/lib/pgsql/14/data]$ psql -h 127.0.0.1 -U postgres
psql: error: connection to server at "127.0.0.1", port 5555 failed: FATAL:  pg_hba.conf rejects connection for host "127.0.0.1", user "postgres", database "postgres", no encryption

你看看,它是直接返回reject connection的信息,而不是hang在那里。

而且这个时候,你用telnet是能正常访问的。

[18:01:58-postgres@centos1:/var/lib/pgsql/14/data]$ telnet 127.0.0.1 5555
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

如果是postgresql.conf中地址项配置错误,错误信息应该是:

cat >>postgresql.conf<<EOF
> listen_addresses = '127.0.0.1'
> EOF

pg_ctl restart
psql -h 192.168.0.6

[18:44:07-postgres@centos1:/var/lib/pgsql/14/data]$ psql -h 192.168.0.6
psql: error: connection to server at "192.168.0.6", port 5555 failed: Connection refused
        Is the server running on that host and accepting TCP/IP connections?

这里也会直接报连接错误,而不是hang/超时。

验证方法一:telnet <port>

其实,到了这一步,基本上在testC主机上,应用telnet <IP of testA> ,如果能连通,则意味着是pg_hba.conf配置出错。如果telnet本身就hang,意味着有别的防火墙软件在阻塞着目标端口的访问。

在windows 10上,可能telnet客户端命令并没有安装 。安装 一下即可。不贴图了。

安装步骤:程序和功能 -》 启用和关闭windows功能 -》 TELNET客户端。

验证方法二:使用NC客户端和服务器端探测

上边不是对testC访问testA或B访问不了,不能完全确信是否是PG本身,还是防火墙造成的吗?

一种是直接使用nc命令连接目标端口:5555

[21:16:24-postgres@centos1:/var/lib/pgsql]$ nc -v 192.168.0.6 5555
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 192.168.0.6:5555.

这里能连接,意味着pg的配置肯定没有问题。再深入一步,

可以把testA的pg端口给停了,假定端口是5556. 然后在testA上启一个5555的nc服务。再用nc客户端来连接:

服务器:
     nc -lv 5566 &
    [2] 1749
    [21:17:36-postgres@centos1:/var/lib/pgsql]$ Ncat: Version 7.50 ( https://nmap.org/ncat )
    Ncat: Listening on :::5566
    Ncat: Listening on 0.0.0.0:5566
客户端(能连上,无防火墙):
 [21:17:55-postgres@centos1:/var/lib/pgsql]$ nc -v 192.168.0.6 5566
    Ncat: Version 7.50 ( https://nmap.org/ncat )
    Ncat: Connected to 192.168.0.6:5566.
    Ncat: Connection from 192.168.0.6.
    Ncat: Connection from 192.168.0.6:52862.
客户端(连不上,有防火墙):
 [21:17:55-postgres@centos1:/var/lib/pgsql]$ nc -v 192.168.0.6 5566
  Ncat: Version 7.50 ( https://nmap.org/ncat )
    Ncat: Connection refused.

验证方法三:使用TCP device来访问

-- 无法连接
[21:17:55-postgres@centos1:/var/lib/pgsql]$ echo >/dev/tcp/192.168.0.6/5566
 -bash: connect: Connection refused
-bash: /dev/tcp/192.168.0.6/5566: Connection refused

--连接成功
[18:39:32-postgres@centos1:/var/lib/pgsql/14/data]$ echo >/dev/tcp/192.168.0.6/5555
(此处没有任何错误提示)

验证方法四:使用ssh相关命令带-v -p开关

连接失败的安例:

ssh -v 192.168.0.6 -p 5566
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug1: Connecting to 192.168.0.6 [192.168.0.6] port 5566.
debug1: connect to address 192.168.0.6 port 5566: Connection refused

连接成功的安例:

ssh -v 192.168.0.6 -p 5555
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug1: Connecting to 192.168.0.6 [192.168.0.6] port 5555.
debug1: Connection established.
debug1: identity file /var/lib/pgsql/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/lib/pgsql/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.4
ssh_exchange_identification: Connection closed by remote host

最后结局:

最后经过证实,testA和testB上的端口对不是同网段的IP被设置了阻断访问,使用的是深信服的防火墙服务。看来,他们运维在这一块做的还是比较严谨的。使用哪个,才开放哪个。访问逐段逐层放开,基本符合产品环境的安全使用原则。

总结:

关于网络排错,可以在结合postgresql.conf/pg_hba.conf的基础上,使用上边介绍的四种方法进行诊断与排错。一般情况下,PG本身的配置不会导致连接hang的错误,要么是能连上,要么是拒绝连接。很快有响应。

上述四种方法使用起来都很便利。

  1. telnet host port

  2. NC服务器和客户端命令搭配

  3. TCP device: echo >/dev/tcp/{IP}/{port}

  4. ssh -v {IP} -p {port}

说得更直白一些,上边的诊断手段,还是来自于操作系统本身的网络通信相关诊断工具的应用。数据库本身的运维切不可完全抛开操作系统本身的一些基础维护独立存在,两者结合起来,才能发挥出应有的效果。


往期导读: 
1. PostgreSQL中配置单双向SSL连接详解
2. 提升PSQL使用技巧:PostgreSQL中PSQL使用技巧汇集(1)
3. 提升PSQL使用技巧:PostgreSQL中PSQL使用技巧汇集(2)
4. PostgreSQL SQL的基础使用及技巧
5. PostgreSQL开发技术基础:过程与函数
6. PostgreSQL中vacuum 物理文件truncate发生的条件
7. PostgreSQL中表的年龄与Vacuum的实验探索:Vacuum有大用
8. PostgreSQL利用分区表来弥补AutoVacuum的不足
9. 也聊聊PostgreSQL中的空间膨胀与AutoVacuum
10. 正确理解SAP BTP中hyperscaler PG中的IOPS (AWS篇)

 http://mp.weixin.qq.com/s?__biz=MzAxODk3Nzg5Nw==&mid=2247487787&idx=1&sn=cc06380ce08cf35395213375e6c2f4dc
数据库杂记
数据库技术专家,PostgreSQL ACE,SAP HANA,Sybase ASE/ASA,Oracle,MySQL,SQLite各类数据库, SAP BTP云计算技术, 以及陈式太极拳教学倾情分享。出版过三本技术图书,武术6段。
 最新文章
PostgreSQL Internals之路 Part-IV 第20章 索引扫描
DuckDB是真火!PolarDB都跑来蹭热度了
PostgreSQL Internals之路 Part-IV 第19章 索引访问方法
“丁奇MySQL Seed” 群答疑: 最快地恢复表结构的方案
回忆我的外公外婆
PostgreSQL Internals之路 Part-IV 第18章 表访问方法
能载舟也能覆舟,也聊聊商业(数据库)软件中的license
PostgreSQL Internals之路 Part-IV 第17章 关于统计
PostgreSQL Internals之路 Part-IV 第16章 查询执行各阶段
PostgreSQL Internals之路 Part-III 第15章 内存结构上的锁详细介绍
PostgreSQL17为事件触发器添加LOGIN事件
如何优化Postgres表布局以获得最大的效率
太极拳给我带来了什么
实锤!SAP大中华区总裁黄陈宏去职,“在中国,为中国”谁来扛旗?
对想学习PG数据库的朋友的一些建议
PostgreSQL Internals之路 Part-III 第14章 其它各类锁
PostgreSQL中有许多个timeout,逐个弄懂它们的含义和使用
压测也不难,使用HyBench对PostgreSQL进行简单压测尝尝鲜
强烈推荐!!!阿里顶级Java开源项目Top20
一文简单搞懂PostgreSQL中OOM几个重要的相关内核参数
PostgreSQL Internals之路 Part-III 第13章 行级锁
10月5日WTT中国大满贯 国乒双打单打全收 老将新将尽显风采
为什么PostgreSQL的端口访问不了了,是配置错误还是防火墙原因
周日005 西甲 赫罗纳VS毕尔巴鄂竞技 深度分析!这场比较稳,跟上节奏,吃香喝辣!
周日009 英超 切尔西VS诺丁汉森林 比分推荐!全网最稳短串,英超近20场未尝败绩
周日012 英冠 布里斯托尔城VS加的夫城 手拿把掐,闭眼跟!
PG备份出来的数据库表文件比原数据库还大,为啥?
SAP BTP Cloud中JDK11到JDK17的巨大性能提升及改进
PostgreSQL Internals之路 Part-III 第12章 关系级锁
SAP BTP Cloud中PostgreSQL版本升级的有意思的案例
王楚钦 - 悲情英雄? 王楚钦止步中国大满贯男单32强, 林诗栋或将崛起!
从2024安全可靠国测结果看如何学习与对待国产
PostgreSQL Internals之路 Part-II 第11章 WAL模式
最新完整版: PostgreSQL 17 Release Notes
善用佳软之PostgreSQL的rust终端界面客户端工具:rainfrog
聊聊这两天的股市及股票
PostgreSQL 17 发布:摊牌了,我不装了!
PostgreSQL Internals之路 Part-II 第10章 WAL日志
从Oracle过渡到PostgreSQL: 理解模式的概念
PostgresQL使用btrfs文件系统, 估计很有前途
即将大火的Linux文件系统
Linux那个很强大、却被怀疑不太稳定的文件系统就它了?btrfs文件系统2种功能初探
联想的起源
1994年爆发的“倪柳之争”
2001年联想集团分拆出神州数码并上市
PostgreSQL是Oracle的一个可行的替代方案——原因如下
说说你了解的分布式锁实现
MySQL 锁详解
PostgreSQL Internals之路Part II: Buffer Cache和WAL第9章 Buffer Cache
Percona发布开源DBaaS平台;阿里云RDS发布全球多活数据库(GAD);Redshift支持自然语言生成SQL
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉