Netbeans / xdebug (удаленно) — не устанавливается соединение... что я делаю не так?

Question

[Александр Х]

Доброго времени суток.
Упорно не могу подружить xdebug на удаленном сервере (freebsd) с neatbeans на локальной машине (windows). Прошу подсказать, что и где еще можно подкрутить?

Итак, что имеем:

На сервере:
Хостинг от Ru-Center, FreeBSD/Apache/Nginx, PHP 5.6, установил xdebug,
PHP.INI (в части xDebug):

[debug]
zend_extension="/home/USERNAME/usr/php/lib/xdebug.so"
xdebug.remote_enable=1
xdebug.remote_autostart=1
xdebug.remote_host=localhost
xdebug.remote_port=9009
;xdebug.remote_connect_back=1
xdebug.remote_handler=dbgp
xdebug.remote_mode=req
xdebug.idekey="netbeans-xdebug"
xdebug.remote_log="/home/USERNAME/logs/xdebug/xdebug.log"
xdebug.profiler_output_dir="/home/USERNAME/logs/xdebug/profiler/"
xdebug.trace_output_dir="/home/USERNAME/logs/xdebug/trace/"

вместо USERNAME - везде корректная папка юзера, естественно;
автостарт - да, это временно, пока работоспособности хдебага не добьюсь...

phpinfo сообщает, что xdebug успешно работает, вся конфигурация отображается так же, как задано в php.ini.

Локально - WinXP, NetBeans, файрволл отключен (и штатный и комодо).
Сложность в том, что IP-адрес НЕ выделенный, поэтому на удаленке явно задать xdebug.remote_host не вариант... поэтому с помощью PUTTY проброшен обратный SSH-туннель:
R9009 - localhost:9009
Удаленный 9009 порт - пробрасывается на локальный 9009, вроде все стандартно;

Удаленный netstat -a|grep 9009 показывает, что туннель есть:

tcp6       0      0 localhost.9009         *.*                    LISTEN

Если тыкаюсь в сайт - xdebug начинает что-то отправлять на localhost:9009 :

tcp4       0      0 nosorog.nichost..14107 localhost.9009         SYN_SENT
tcp6       0      0 localhost.9009         *.*                    LISTEN

НО! до локальной машины ни коннект ни данные по тунелю не доходят.

Теперь странности:
И все бы ничего, можно было грешить на много чего - на файрволл, на провайдера, на закрытые порты у хостера (хотя за открытие портов на вход и выход я дополнительно заплатил), если бы ни одно НО:

Для проверки работоспособности туннеля локально запускаю простой листенер:

from socket import *
from time import sleep

host = ''
port = 9009
sock = socket(AF_INET, SOCK_STREAM)
print 'sock.bind...'
sock.bind((host, port))
sock.listen(5)
while 1:
	print '  sock.accept - listening for incoming connection...'
	conn, addr = sock.accept()
	print '  connected from '+str(addr)
	sleeptime = 10
	print '    sleep for ' + str(sleeptime) + ' sec before force close connection...'
	sleep(sleeptime)
	print '    conn.close...'
	conn.close()
	print '    disconnected from '+str(addr)
print 'sock.close...'
sock.close()

Удаленно запускаю
ssh -p 9009 localhost

И выясняется, что коннект-то есть (листенер на локальной машине принимает входящее соединение от сервера, нетстаты на обоих машинах видят успешное соединение, в общем - идиллия).
Но вот почему-то никто больше (кроме этой команды) на сервере может через него достучаться до локальной машины. И никто больше (кроме этого листенера) на локальной машине - не замечает сигналов от сервера через этот туннель.

ИТОГО, были испробованы все возможные варианты на сервере и локально:

С сервера:
- ssh -p 9009 localhost
- тестовым скриптом наподобие листенера выше
- собственно, xdebug (т.к. autostart, то любой запрос к сайту инициирует отправку данных на localhost:9009)

На локальной машине :
- приведенный выше листенер
- собственно NetBeans в режиме ожидания коннекта от xDebug

Из всего приведенного, только одна комбинация (ssh удаленно и listener локально) показывают коннект, что говорит о том, что впринципе туннель жив.
Тестовый скрипт на сервере отваливается по таймауту, xDebug в логи пишет то же самое "E: Time-out connecting to client. :-(", при этом нетстат на сервере видит отправку данных в обоих случаях.
Локально - что листенер, что нетбинс просто занимают порт на LISTEN, и (кроме вышеупомянутой комбинации ssh+листенер) не подают никаких признаков коннекта.

Вопрос:
Что, блин, я еще мог упустить?
Заранее спасибо за любые мысли.

PS и да, мои знания юниксов и сетевых премудростей - достаточно поверхностны, поэтому вполне допускаю, что причина может оказаться идиотской :)

UPD:
промежуточные итоги:
- оттуда удается достучаться с помощью ssh и telnet; в обоих случаях, тестовый листенер на локальной машине принимает соединение, если нетбинсом слушать - он игнорит, но wireshark все-же видит пакеты;

- оттуда НЕ может достучаться xdebug и тестовый скрипт sock.connect(('localhost', 9009)); в обоих случаях SYN_SENT на той стороне и отвал по таймауту, на этой - ноль реакции как в нетстате, так и в wireshark;

Comments

[Rou1997]

Так определите, что не так!
Для начала можно например отсниффить пакеты с одной стороны и с другой, если на другую вообще не приходят пакеты от клиента то какое здесь "подкрутить", здесь надо в самой FreeBSD что-то "крутить", там типа брандмауэра наверно что-то.

[Александр Х]

сорри, текст сохранился до того, как я описал клиническую картину целиком :)))

[Александр Х]

1. если на той стороне запускаю ssh -p 9009 localhost - пакеты сюда приходят (если слушать порт тестовым скриптом - он ловит соединение, если нетбинсом - он не реагирует, что вроде логично), но wireshark пакеты видит в обоих случаях;

2. а если на той стороне запускается xdebug (путем обновления страницы сайта, с учетом remote_autostart=1), то сюда пакеты НЕ доходят вообще. Хотя удаленный netstat показывает SYN_SEND на порте.

3. если на той стороне тестовый скрипт (суть которого сводится к sock.connect(('localhost', 9009)) ) - картина та же (удаленный netstat показывает активность на порту, локально - пакетов нет)

Куда теперь смотреть?
(мои знания сетей и nix-ов на этом закончились, поэтому и обращаюсь сюда -))

[Александр Х]

4. upd: телнетом оттуда пакеты долетают, более того - тестовый листенер здесь принимает соединение (ESTABLISHED на обоих концах, плюс телнет и листенер реагируют друг на друга); если же порт слушает netbeats - он соединение не принимает, на том конце SYN_SENT на порту и потом "Connection closed by foreign host."...

короче, вопрос упирается в "почему xdebug и тестовый скрипт с той стороны НЕ могут достучаться, а ssh и telnet - могут... в чем между ними разница?)

Answer 1

[Nikon_NLG]

А что за ошибка то? И у вас remote_host = localhost. Вы через туннель к xdebug подключаетесь?

Comments

[Александр Х]

пардон, текст сохранил до того, как все изложил до конца :))
теперь в исходном посте - полная клиническая картина

[Nikon_NLG]

Александр Х: Вариантов не так чтобы много. idekey remote_mode, remote_handler в netbeans корректно указаны?
tcpdump/wireshark локально не пробовали запускать, чтобы посмотреть что с той стороны приходит?

[Александр Х]

1. в netbeans из настроек дебагера - только idekey и локальный порт... то и другое указано верно. Есть еще "max data length", по дефолту стоит 2048, не менял...
А вот remote_handler и remote_mode - где в нетбинсе указываются? я не нашел... Нетбинс 8.1.

2. нет, я таких не знаю (т.е. не знал :) )... спасибо за подсказку, сейчас посмотрю.

[Александр Х]

2. ну что, посмотрел wireshark-ом, картина та же самая, в смысле - "ssh удаленно / listener.py локально" - единственная пара, при коннекте которой в wireshark виден обмен tcp/ssh пакетами; при попытке запустить на той стороне xdebug, удаленный netstat показывает, что он шлет данные на localhost:9009, а на этой стороне ничего, (только пары пакетов запрос-ответ раз в 5 секунд, 102 байта туда, 66 байт обратно, если не отключать keep-alive в putty).

[Александр Х]

а, еще если на этой стороне запустить нетбинс, а на той - ssh -p 9009 localhost, то wireshark тоже видит какой-то обмен, но netbeans на него не реагирует (ну это, вроде, логично выглядит, т.к. он dbgp-соединения ждет, видимо).

Итого, с той стороны ssh через тунель пробивается, а xdebug - нет.
Куда смотреть дальше?

[Александр Х]

... кстати, а может быть такое, что если я пробрасываю тунель средствами putty, то на той стороне этот тунель доступен только в рамках данной ssh-сессии (или в рамках данного юзера), а xdebug запущен как сервис, не в контексте данной сессии (или не из-под этого юзера)?

вроде не должно быть (сервисы вроде не привязаны к сессии никак, да и это вроде стандартное решение, которое у других работает), но мало ли :)

[Александр Х]

короче, промежуточные итоги:
- оттуда удается достучаться с помощью ssh и telnet; в обоих случаях, тестовый листенер на локальной машине принимает соединение, а если нетбинсом слушать - он игнорит, но wireshark все-же видит пакеты;

- оттуда НЕ может достучаться xdebug и тестовый скрипт sock.connect(('localhost', 9009)); в обоих случаях SYN_SENT на той стороне и отвал по таймауту, на этой - ноль реакции как в нетстате, так и в wireshark;

Вопрос - чем первые от вторых принципиально отличаются?

[Nikon_NLG]

Александр Х: Даже не знаю что посоветовать. Как вариант - попробуйте взять другую IDE чтобы проверить что она соединяется. Мне кажется проблема со стороны netbeans, но подтвердить никак не могу

[Александр Х]

а что для быстрого проведения эксперимента посоветуете? ну, чтобы полноценно не разворачивать громоздкие ide?
ну или, может что-то неоднократно проверенное в бою, чтобы на 100% тест был полезным -))

[Александр Х]

хм... ну из простого - попробовал плагин для NP++, ноль реакции...
меня вот что смущает, что когда оттуда xdebug пытается достучаться - здесь wireshark не видит ничего... вообще.. какбы наводит на мысль, что беда где-то до IDE... не?

[Александр Х]

при том, что если я пытаюсь достучаться телнетом оттуда (а здесь слушает нетбинс) - коннекта не происходит, но wireshark пару пакетов замечает...

[Nikon_NLG]

А попробуйте локально выполнить ssh -L 9009:remote_host:9009
remote_host соответственно свой подставьте, где xdebug

[Nikon_NLG]

Или -R вместо -L, не помню в какую сторону правильно

[Александр Х]

прямо вот так локально не могу, здесь винда, но могу пробросить аналог с помощью putty...

буду дома - попробую, конечно, но смысл не понял.. это же будет прямой тунель с локальной машины на сервак, если L... там же вроде xdebug должен инициировать коннект, а локально надо просто слушать 9009... или как?

а если R, то получится удаленный порт 9009 форвардится на удаленный хост на порт 9009.... ну т.е. удаленный порт 9009 сам на себя через тунель, поддерживаемый локальной машиной )))

ну, попробую, конечно, может я чего не понимаю, инргда странные вещи срабатывают )))))

[Nikon_NLG]

Александр Х: Ну в общем всё правильно получится. Xdebug попытается отправить данные в порт 9009, чтобы ide что-то там с ними сделала. Дальше запрос на 9009 форварднется на локальный netbeans, где и будет обработан.
Я сначала внимание не обратил как порт форвардится, скорее всего в этом ошибка.

[Александр Х]

мы говорим про -L. ?

[Александр Х]

прсто, если про -L, то еще более менее понятно (хотя - L9009:remote-ip:9009 это вроде как тунель в направлении «туда», а R900R:localhost:9009 (как я делал) - как раз в направлении «оттуда», что нам надо... но я тут еще готов предположить, что я както не так поеял), но если ркчь про R9009:remote-ip:9009, то я вообще ничего не понял )))))

ну, в любом случае, дома буду- протестю

[Nikon_NLG]

Александр Х: Добрался до man ssh, правильно всё таки через R:
ssh -R 9009:localhost:9009 user@remote-host
это забиндит удалённый порт 9009 на локальный порт 9009

[Александр Х]

Nikon_NLG: стоп, а вот этоuser@remote-host
это что означает? и как оно в putty реализуется

[Nikon_NLG]

Александр Х: Хороший вопрос, у меня линукс. user@remote-host - это как вы обычно по ssh ходите (т.е. в строке hostname). Дальше в Tunnels указываете тип remote, source port 9009, destination localhost:9009
Как-то так, если я правильно скриншоты посмотрел

[Александр Х]

ну, как и обещал, в порядке эксперимента попробовал L9009 пробросить "туда"...
как и ожидал, putty начинает слушать локальный порт (судя по нетстату здесь)... более того, тем самым занимает его, и нетбинс начинает ругаться, что порт занят.

насчет user@remote-host вроде понял... в PUTTY явно это в настройках туннеля не указывается по той причине, что туннель настраивается уже в контексте соединения с удаленным хостом (ну т.е. в линуксе до запуска этой команды вообще непонятно, что за "удаленный" порт, и надо логин/хост указывать здесь явно, а в путти - мы сначала настраиваем коннект (логин/хост/пароль и т.п.), и только уже потом настраиваем туннель, и понятно, что туннель пробрасывается именно туда, куда мы коннектимся)

[Nikon_NLG]

Александр Х: Да, я уже вчера упомянул что правильный вариант - R9009. В таком варианте заработало?

[Александр Х]

ну короче, тунель проброшен был правильно... не даром же телнет оттуда уже пробивается до локалки...

попробовал задать вопрос хостеру, может у них там чего на сервере какие-нить блоки стоят...

[Nikon_NLG]

Александр Х: а если поднять туннель с R9009, и на стороне сервера сделать что-то типа
echo '<? phpinfo(); ?>'|nc localhost 9009
в netbeans что-нибудь прилетает?

[Александр Х]

в таком варианте я и проводил все эксперименты, про которые писал выше:

короче, промежуточные итоги:
- оттуда удается достучаться с помощью ssh и telnet; в обоих случаях, тестовый листенер на локальной машине принимает соединение, а если нетбинсом слушать - он игнорит, но wireshark все-же видит пакеты;

- оттуда НЕ может достучаться xdebug и тестовый скрипт sock.connect(('localhost', 9009)); в обоих случаях SYN_SENT на той стороне и отвал по таймауту, на этой - ноль реакции как в нетстате, так и в wireshark;

[Александр Х]

ха, а с неткатом (кстати спасибо, не знал про такую штуку) интересно вышло...
если локально листенер - неткат оттуда успешно коннектится (как и ssh и телнет ранее),
но вот нетбинс, в отличие от других вариантов, на нетката отреагировал... правда отреагировал странно - ругнулся на ошибку, порвал коннект, и после этого перестал повисать на 9009 порту...

[Александр Х]

еще попробовал с этой стороны слушать не нетбинсом, а неким xdebug client, так вот, он точно также крашится при попытке оттуда прицепиться неткатом...

вобщем, другими словами, неткат оттуда до клиентов тут по-крайней мере дотягивается...

Выходит, копать все-таки надо "там", почему хдебаг не может досюда дотянуться (независимо от того, кто его здесь слушает)

[Nikon_NLG]

Александр Х: ну echo для нетката я для примера указал, чтобы проверить как там пакеты доходят. Увы, у меня варианты кончились, как минимум связь до netbeans вы установили. Можно ещё посмотреть на https://xdebug.org/docs/remote , может там какую-то идею найдёте

[Александр Х]

Nikon_NLG: привет еще раз... слушай, а как можно проверить, есть ли какие-то специфические запреты для конкретного процесса? Т.к. проблема свелась к тому, что некоторые процессы могут связаться с локальной машиной через тунель, а некоторые - не могут, значит чем-то они друг от друга явно отличаются... а отличаться они могут либо ошибкой логики (ну xdebug-а я бы не стал в этом подозревать), либо какими-то запретами, которые на одни процессы влияют, а на другие - нет...

[Nikon_NLG]

Александр Х: не знаю, в голову только strace приходит. Вообще разницы быть не должно - удалённая машина ничего не знает про процессы на локальной. К сокету подключились, данные в нужном формате получили - вот и всё. Права доступа к сокету если только (т.е. если сокет создаётся с правами 664 и пользователем www-data:www-data, а ты пытаешься открыть его под пользователем user, который в группу www-data не входит). Но это смотреть надо на сервере, компьютер на другом конце сокета тут не при чём

[Александр Х]

Nikon_NLG: а я какраз про удаленные процессы же говорю

[Nikon_NLG]

Александр Х: Не должно влиять. Попробуйте перевесить на другой порт, типа 43210 , чтобы убедиться что его никто не блокирует.

[Александр Х]

не помогло.. да и неткат тогда не пробился бы