Blog - webologix

Gestion POSTFIX

Wed, 07 Sep 2022 14:09:47 +0000

6.8.commandes utiles:

a) lister les messages en attente dans la queue

mailq

postqueue -p

b) Afficher le contenu d'un msg de la queue

postcat -q

c) Supprimer tous les messages différés

postsuper -d ALL deferred

d) Nombre de messages dans la queue

mailq | tail -n 1

e) Script de suppression de mails dans la queue

pfdel_keyword

f) état des queues de postfix

qshape -s | head

= incoming, active, deferred, maildrop, hold

ex :

qshape incoming active deferred | less #affiche les 3 queues cumulées

qshape -s deferred | less #msgs différés, par sender

g) pflogsumm --detail 0 /var/log/mail.log

$ perl /usr/sbin/pflogsumm -d yesterday /var/log/mail.log

h) Relancer la queue (deferred)

postqueue -f

i) Vérifier master.cf

postfix reload && tail -f /var/log/mail.log

j) Voir charge amavisd

amavisd-agent -w 180 -c 1

k) Envoit d'un spam

X5O!P%@AP[4\PZX54(P^) 7CC) 7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

l) egrep '(reject|warning|error|fatal|panic) :' /some/log/file
g) Test dovecot/mysql

doveadm user email1@example.com

h) Test postfix/mysql

postmap -q webologix.com mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf

Changement IP routeur local

Thu, 17 Mar 2022 10:13:17 +0000

En cas de changement d'IP du poste de travail, modifier:

firewall.sh MASSAMAG

/etc/fail2ban/jail.conf ignoreip

/etc/postfix/main.cf mynetworks

Fail2ban

Wed, 16 Mar 2022 13:44:52 +0000

Lister les jail actives:

fail2ban-client status

Voir l'état d'une jail

fail2ban-client status jail_name

Tester une règle sur un log:

fail2ban-regex file.log jail_name

Les paramètres des jails se trouvent par défaut dans /etc/fail2ban/jail.conf

Voir le filtre d'une jail:

cat /etc/fail2ban/filter.d/jail_name.conf

Résoudre l'erreur "La clé publique n’est pas disponible : NO_PUBKEY"

Sun, 06 Mar 2022 08:59:41 +0000

Solution:

apt-get clean
apt-get -f install
dpkg --purge --force-depends ca-certificates
sudo apt-get update 2>&1 | sed -ne 's?^.*NO_PUBKEY ??p' |xargs -r -- sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys

Configuration de DMARC (sous Debian)

Thu, 13 May 2021 12:13:45 +0000

CONFIGURATION DMARC DEBIAN

Paramétrage BIND

> grep dmarc /etc/bind/pri.webologix.com

_dmarc 3600 TXT "v=DMARC1; p=none; rua=mailto:mail@example.com; ruf=mailto:mtn@example.com fo=1 adkim=r; aspf=r; pct=100; rf=afrf;
ri=600"

Where:

v: DMARC version. This is a required field. For now it will have the value of ‘DMARC1’
p: DMARC policy. This is an required field as well, you can set it to one of three values:

none: Means don’t do anything if the DMARC verification fails. This is a good setting while you are still testing your DMARC implementation as it will not disrupt your outgoing mail if you made a mistake in your configuration.
quarantine: Mail that fails DMARC checks should be treated as suspicious. This is good middle ground setting if you want to ensure that none of your mail gets lost.
reject: Mail should be rejected If the DMARC verification fails. This is a good setting if your domain is used for phishing or if trust in your E-Mails is more important than occasional lost messages.
rua: This is an optional parameter and contains the address to which the DMARC aggregate report should be submitted. You can specify web addresses here, but I have not done so so far. If you do not set this option at all, you will not receive DMARC reports.
ruf: This is similar to the rua field, but these are the addresses for DMARC forensic reports. These reports contain detailed information about failed DMARC verifications of E-mail claiming to be from your domain.
fo: These are reporting options for the failure reports. This can have four possible values:
- 0: generate a report if both SPF and DKIM tests failed
- 1: generate a report if either the SPF or the DKIM test failed
- s: generate a report if the SPF test failed
- d: generate a report if the DKIM test failed
adkim: This option is optional and controls how strict the result of the DKIM verification should be interpreted. It defaults to relaxed if it is not present. Possible values are:
- s: strict
- r: relaxed
aspf: This option is optional and controls how strict the result of the SPF check should be interpreted. It defaults to relaxed if no value is set. Possible values are
- s: strict
- r: relaxed
pct: This is also optional and determines how many percent of the messages from your domain should have the DMARC verification done by other mail providers. The possible values here are integers between 0 and 100. It defaults to 100 if it is not set.
rf: This optional field lets you specify your preferred reporting format for forensic reports. It defaults to “afrf”. These are the possible values:
1. afrf: Authentication Failure Reporting Format
2. aodef: Accident Object Description Exchange Format
ri: This optional field is the interval at which you want to receive DMARC reports in seconds. It defaults 86400 seconds (one day). According to the DMARC specification every participating organization should be able to send reports at least once every day. Intervals as small as one hour are within the specification. But those smaller intervals are generally served on a best effort basis.
sp: The last field is also optional (and not present in my example). It is the subdomain policy. If you do not set this, the policy you set in the beginning will apply to your subdomains. If you set this you can use the same values as in the policy field. This can be useful if you know, that you never send mails from one of your subdomains. In that case you can set the subdomain policy to reject without any risk of your legitimate E-Mails being discarded.

Après débugage poser les paramètres définitifs:

> grep dmarc /etc/bind/pri.webologix.com
_dmarc 3600 TXT "v=DMARC1; p=quarantine; fo=1 adkim=r; aspf=r; pct=100; rf=afrf; ri=86400"

INSTALLATION DEBIAN

apt install opendmarc

Paramétrage

Configurationdes sockets par fichiers plutôt que par port pour éviter les Parefeu

> nocomment.sh /etc/opendmarc.conf
AuthservID HOSTNAME
PidFile /var/run/opendmarc/opendmarc.pid
PublicSuffixList /usr/share/publicsuffix
Socket local:/var/run/opendmarc/opendmarc.sock
Syslog true
TrustedAuthservIDs HOSTNAME, mail.webologix.com, imap.webologix.com, smtp.webologix.com, pop.webologix.com, webologix.com
UMask 0002
UserID opendmarc:opendmarc
IgnoreHosts etc/opendmarc/ignore.hosts
SoftwareHeader true

AuthservID: Sets what is used as AuthservID when processing E-Mails. This should be the hostname of your mail server or another unique string
PidFile: Path to the PID file
RejectFailures: This is a Boolean, if this is true E-Mails that fail DMARC verification will be rejected by your mail server. I prefer simply tagging the mail so I set this to false.
Syslog: true or false. Tells opendmarc, whether it should log to syslog or not
TrustedAuthservIDs: these AuthservIDs are assumed to be valid inputs for DMARC assessment. This can prevent the DMARC tests from running several times if you have multiple mail servers in your organization
UMask: the PID file and the socket file are created with this umask
UserID: the user and group running the opendmarc service separated by a colon.
IgnoreHosts: The path to the Ignored Hosts list
HistoryFile: The path under which the History file should be created. This file is necessary if you want to be able to create aggregate reports to send out to other organizations
SoftwareHeader: adds a “Dmarc-Filter” header with the opendmarc version in every processed mail. This is good to have during testing
ForensicReporting options seem to be broken in the version of opendmarc that I used. When I tried to uncomment them, opendmarc would not start because of unrecognized parameters.

ignoreHosts:

> cat /etc/opendmarc/ignore.hosts
localhost
xx.23.227.123
xx.21.69.195

Socket configuration:> nocomment.sh /etc/default/opendmarc
RUNDIR=/var/run/opendmarc
SOCKET=local:$RUNDIR/opendmarc.sock
USER=opendmarc
GROUP=opendmarc
PIDFILE=$RUNDIR/$NAME.pid
EXTRAAFTER=

Paramétrage Postfix

> grep milters /etc/postfix/main.cf
#smtpd_milters = inet:localhost:8891
#non_smtpd_milters = inet:localhost:8891
smtpd_milters = local:/var/spool/postfix/var/run/opendkim/opendkim.sock, /var/run/opendmarc/opendmarc
non_smtpd_milters = local:/var/spool/postfix/var/run/opendkim/opendkim.sock, /var/run/opendmarc/opendmarc

Vérification

Echanger des mails avec une adresse externe de préférence GMAIL et vérifier le statut "DMAR=pass" dans les headers.

Commandes utiles DIG

Tue, 20 Apr 2021 14:00:26 +0000

Quelques commandes utiles pour vérifier les DNS d'un domaine:

Voir le SOA, le serial, etc, d'un domaine,

dig SOA example.com

Faire la même demande sur un serveur particulier:

dig SOA example.com @ip_ou_nom_du serveur

Exemple:

~$ dig soa webologix.com @ks307144.kimsufi.com

; <<>> DiG 9.16.1-Ubuntu <<>> soa webologix.com @ks307144.kimsufi.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17794
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: e7d53fbdb3be81745ec215d2607efa7164524b5a70bad7ac (good)
;; QUESTION SECTION:
;webologix.com.                 IN      SOA

;; ANSWER SECTION:
webologix.com.          3600    IN      SOA     ks307144.kimsufi.com. thierychen.yahoo.fr. 2021041300 7200 540 604800 3600

;; AUTHORITY SECTION:
webologix.com.          3600    IN      NS      ns.kimsufi.com.
webologix.com.          3600    IN      NS      ks307144.kimsufi.com.

;; Query time: 31 msec
;; SERVER: 94.23.227.123#53(94.23.227.123)
;; WHEN: mar. avril 20 17:59:45 CEST 2021
;; MSG SIZE rcvd: 173

Voir les DNS d'un nom de domaine:

dig NS example.com [@ip_ou_nom_du_serveur]

Voir le champ TXT du sous domaine ownercheck

dig TXT ownercheck.example.com [@ip_ou_nom_du_serveur]

Voir le FQDN d'une IP

dig -x ip-du-serveur +short

Installer un nom de domaine avec secondaire chez OVH

1/ ajouter une zone dans le bind du DNS primaire avec authorisation transfert:

cat /etc/bind/named.con.local

...

zone "example.com" {
        type master;
        file "/etc/bind/pri.example.com";
        allow-transfer {213.251.188.141;};
};

...

2/ Créer la zone:

$ cat /etc/bind/pri.example.com
$TTL        86400
@       IN      SOA     51.75.252.16. mtn.webologix.com. (
                        2021042000       ; serial, todays date + todays serial #
                        28800            ; refresh, seconds
                        7200             ; retry, seconds
                        604800           ; expire, seconds
                        86400 )          ; minimum, seconds
;
example.com.    86400 A        51.75.252.16
www             86400 A        51.75.252.16
ftp             86400 A        51.75.252.16
mail            86400 A        51.75.252.16
test1           86400 A        51.75.252.16
test2           86400 A        51.75.252.16

example.com.      NS        vps-dc57eb6c.vps.ovh.net.
example.com.      NS        sdns2.ovh.net.
pop             10800 IN CNAME access.mail.gandi.net.
webmail         10800 IN CNAME agent.mail.gandi.net.
smtp            10800 IN CNAME relay.mail.gandi.net.
imap            10800 IN CNAME access.mail.gandi.net.
@               10800 IN MX 10 spool.mail.gandi.net.
@               10800 IN MX 50 fb.mail.gandi.net.
@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net ip4:51.75.252.16 ?all"

ownercheck      TXT     "827c1046"

3/ Déclarer le DNS secondaire le manager OVH du primaire

Manager OVH > serveur primaire > DNS secondaire > ajouter un domaine

Le manager prévient qu'il faut ajouter un champ TXT sur le sous domaine ownercheck pour valider l'opération

Il faut que le ownercheck soit configuré dans la zone DNS du prmaire. Attention au temps de propagation DNS, ce n'est pas immédiat.

Casse tête DKIM - Debian

Tue, 13 Apr 2021 09:06:27 +0000

Beaucoup d'administrateurs de serveurs passent des heures à reparamétrer DKIM suite à un changement de serveur ou un upgrade. Les principales raisons que j'ai détectées sont:

les logs systemd ne rapportent pas les erreurs correctement
systemd override la conf initiale de opendkim
si vous êtes amené à modifier la conf DNS il faut tenir compte des temps de propagation éventuels qui peuvent aller jusqu'à 48 heures et fait que les changements ne sont pas nécessairement actifs immédiatement.

Configuration DKIM sous DEBIAN-BUSTER/POSTFIX/BIND

Si vous avez un parefeu il risque de gêner la communication par socket. J'ai donc choisi la méthode "local"

Voici ma conf:

> nocomment.sh /etc/opendkim.conf
Syslog yes
UMask 0002
Domain webologix.com
KeyFile /etc/opendkim/private.key
Selector dkim
Canonicalization simple
Mode sv
> nocomment.sh /etc/default/opendkim
RUNDIR=/var/spool/postfix/var/run/opendkim
SOCKET=local:$RUNDIR/$NAME.sock"
USER=opendkim
GROUP=opendkim
PIDFILE=$RUNDIR/$NAME.pid
EXTRAAFTER=
> grep dkim /etc/bind/pri.webologix.com
dkim._domainkey IN TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5wWRerEFReOgPVfkKQEsToK76hAAWiWU0IhwTa2iKcvJPtmyNEDAkdcb/iiKYZYfNpxnt/UFVVKAZ6Zvnt0VXlg2lKSPsZT9pA2rpLI+/e5/y0kiytxXNofMmthZtlH5Tcma8L8nAKEsPd7YkfZ70SjiPHwnDYNHkT9/lnh1KdQIDAQAB;"
> grep milter /etc/postfix/main.cf
milter_default_action = accept
milter_protocol = 2
smtpd_milters = local:/var/spool/postfix/var/run/opendkim/opendkim.sock
non_smtpd_milters = local:/var/spool/postfix/var/run/opendkim/opendkim.sock
milter_content_timeout = 300s

Vérifiez bien que :

le selector est le même dans /etc/opendkim.conf et /etc/bind/zone_dns_de_votre domaine
le socket déclaré dans /etc/default/opendkim est le même que smpt_milters de /etc/postfix/main.cf
la clé publique doit être copiée sur une seule ligne sans espaces dans votre /etc/bind/zone_dns_de_votre domaine

postionnez correctement les droits d'accès du RUNDIR déclaré dans opendkim:

> ll /var/spool/postfix/var/run/opendkim/
total 4
-rw-rw---- 1 postfix root 5 avril 13 12:46 opendkim.pid
srwxrwxr-x 1 postfix root 0 avril 13 12:46 opendkim.sock

ATTENTION : systemd repositionne les droits d'accès des sockets:

> ll /var/spool/postfix/var/run/opendkim/
total 4
-rw-rw---- 1 postfix root 5 avril 13 12:46 opendkim.pid
srwxrwxr-x 1 postfix root 0 avril 13 12:46 opendkim.sock
> systemctl restart opendkim
> ll /var/spool/postfix/var/run/opendkim/
total 4
-rw-rw---- 1 root root 5 avril 13 12:54 opendkim.pid
srwxrwxr-x 1 root root 0 avril 13 12:54 opendkim.sock

Test

Le meilleur test que j'ai trouvé est basé sur l'envoi d'un mail (certaines plateformes valideront votre enregistrement DKIM d'après les clés publiées sur votre DNS mais ce n'est as suffisant pour garantir la signature):

https://dkimvalidator.com

Une commande pour vérifier la présence de votre clé publique sur votre serveur DNS:

> dig TXT dkim._domainkey.example.com. @votre.serveur.DNS.primaire doit donner quelquechose de la forme:

~$ dig TXT dkim._domainkey.webologix.com. @ks307144.kimsufi.com

; <<>> DiG 9.16.1-Ubuntu <<>> TXT dkim._domainkey.webologix.com. @ks307144.kimsufi.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60025
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: b23c01821a0a982ba69c1faa6075a186921b9a37c2ccdf84 (good)
;; QUESTION SECTION:
;dkim._domainkey.webologix.com. IN      TXT

;; ANSWER SECTION:
dkim._domainkey.webologix.com. 3600 IN TXT     "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5wWRerEFReOgPVfkKQEsToK76hAAWiWU0IhwTa2iKcvJPtmyNEDAkdcb/ii
KYZYfNpxnt/UFVVKAZ6Zvnt0VXlg2lKSPsZT9pA2rpLI+/e5/y0kiytxXNofMmthZtlH5Tcma8L8nAKEsPd7YkfZ70SjiPHwnDYNHkT9/lnh1KdQIDAQAB;"

;; AUTHORITY SECTION:
webologix.com.          3600    IN      NS      ns.kimsufi.com.
webologix.com.          3600    IN      NS      ks307144.kimsufi.com.

;; Query time: 32 msec
;; SERVER: 94.23.227.123#53(94.23.227.123)
;; WHEN: mar. avril 13 15:49:58 CEST 2021
;; MSG SIZE rcvd: 373

Gestion certificats SSL Letsencrypt

Tue, 22 Sep 2020 14:52:17 +0000

Letsencrypt fournit le moyen d'installer ses propres certificats SSL renouvelables automatiquement tous les 3 mois

Ceci est un récaptiulatif que j'utilise pour la gestion des certicats

Installation

apt install python-certbot-apache

Création certificats pour domaines

certbot --apache

supprimer un certificat

certbot delete

Renouvellement auto

server/Debian 9: Il ya un script cron /etc/cron.d/certbot mais n’est pas utilisé sous systemd

sudo crontab -e

ajouter une ligne crontab pour lancer le test tous les jours à 7h et 19h.

0 7,19 * * * certbot -q renew

test renouvellement

certbot renew --dry-run

vérifier le contenu d’un certificat

openssl x509 -text < /etc/letsencrypt/live/domain.tld/cert.pem

voir les domaines inclus

openssl x509 -text < /etc/letsencrypt/live/domain.org/cert.pem|grep DNS

voir limite validité

openssl x509 -text < /etc/letsencrypt/live/domain.xyz/cert.pem |grep After

test validité cert vu par thunderbird

openssl s_client -connect server.kimsufi.com:143 -starttls imap -showcerts 2>/dev/null | openssl x509 -noout -subject -issuer -dates

test connection imap depuis client

openssl s_client -connect mail.webologix.com:imaps

test validité certificat depuis le serveur

sudo openssl x509 -in /etc/letsencrypt/live/domain.tld/cert.pem -inform PEM -noout -enddate

Ajout d’un domain à un certificat existant:

certbot –apache –expand -d original.domain.tld -d new1.tld -d new2.tld ...

Pour renommer le certificat avec le premier domaine listé, ajouter --force-renewal

PHP5.6-fpm avec extension GD

Fri, 29 Nov 2019 09:34:32 +0000

Installer PHP5.6-fpm avec extension GD et MYSQL sur un serveur Debian 9 / ispconfig

Si comme moi vous avez de vieux sites qui tournent sous Joomla 1.0 vous serez peut-être amené à installer une version de PHP compatible. Ispconfi 3.1 permet d'installer facilement plusieurs versions de PHP différentes sur un serveur Debian 9, en suivant ce tutoriel, par exemple:

https://www.howtoforge.com/tutorial/how-to-install-php-7-on-debian/

Mais si vous obtenez des messages du genre:

GD image library not installed!
...
Can't connect to DB

il est nécessaire d'adapter le ./configure pour intégrer GD ou MYSQL, par exemple. Dans le cas de GD il faut ajouter quelques librairies qui ne sont pas présentes par défaut sur Stretch:

apt-get install libjpeg-dev
apt-get install libfreetype6-dev

Si vous avez déjà fait une compilation de PHP il est alors nécessaire de la nettoyer avant de recompiler:

make clean
make distclean

il faut ensuite configurer PHP selon vos besoins (ici avec support de MYSQL et GD):

cd /usr/local/src/php5.6-build/php-5.6.33/
./configure --prefix=/opt/php-5.6 --with-pdo-pgsql --with-zlib-dir --with-freetype-dir --enable-mbstring --with-libxml-dir=/usr --enable-soap --enable-calendar --with-curl --with-mcrypt --with-zlib --with-pgsql --disable-rpath --enable-inline-optimization --with-bz2 --with-zlib --enable-sockets --enable-sysvsem --enable-sysvshm --enable-pcntl --enable-mbregex --enable-exif --enable-bcmath --with-mhash --enable-zip --with-pcre-regex --with-pdo-mysql --with-mysqli --with-mysql-sock=/var/run/mysqld/mysqld.sock --with-jpeg-dir=/usr --with-png-dir=/usr --enable-gd-native-ttf --with-openssl=/opt/openssl --with-fpm-user=www-data --with-fpm-group=www-data --with-libdir=/lib/x86_64-linux-gnu --enable-ftp --with-kerberos --with-gettext --with-xmlrpc --with-xsl --enable-opcache --enable-fpm --with-mysql --with-gd
make
make install

Trouver le socket mysql qu’on trouve dans le phpinfo :

/opt/php-5.6/bin/php -r "echo phpinfo();" | grep _socket

et le mettre dans php.ini (ex. avec /var/run/mysqld/mysqld.sock ):

pdo_mysql.default_socket = /var/run/mysqld/mysqld.sock
mysql.default_socket = /var/run/mysqld/mysqld.sock
mysqli.default_socket = /var/run/mysqld/mysqld.sock

Relancer php-fpm:

systemctl restart php-5.6-fpm.service

Tester:

/opt/php-5.6/bin/php -r "echo phpinfo();" | grep --with-mysql
/opt/php-5.6/bin/php -r "print_r gdpinfo();"

Xdebug + Eclipse: fonctionnement aléatoire

Fri, 29 Nov 2019 09:32:11 +0000

J'ai eu pendant longtemps des problèmes pour faire fonctionner XDEBUG avec ECLIPSE en remote debugging. Celà se manifestait par exemple avec ECLIPSE qui reste sur "Launching website.com 48% ou 57%" et aucun break ne fonctionnait.

Installation xdebug sur le serveur distant:

apt-get install php-xdebug

Modifier la config /etc/php/cgi/conf.d/20-xdebug.ini (emplacement visible dans phpinfo) :

# cat /etc/php5/cgi/conf.d/20-xdebug.ini
zend_extension=xdebug.so
xdebug.remote_enable=1
xdebug.remote_handler=dbgp
xdebug.remote_mode=req
xdebug.remote_port=9000

Changements xdebug v3.0

Les paramètres deviennent, pour une install apache2 / php7.3-fpm, par exemple

# cat /etc/php/7.3/fpm/conf.d/20-xdebug.ini 
zend_extension=xdebug.so
xdebug.mode=debug
xdebug.start_with_request
xdebug.client_port = 9003
xdebug.client_host = ip.ma.chine.locale

Paramétrage Eclipse sur la machine locale:

Dans le menu Eclipse windows > préférences > PHP > Debug > Installed debugger > Xdebug

Donner le port 9000 qu'on a défini sur le serveur distant.

Si à ce stade votre conexion marche de manière instable ou pas du tout

Vérifier vos parefeus côté client et serveur ne bloquent pas le port 9000
Vérifier le port mapping de votre routeur

si vous vous connectez à INTERNET via un routeur type FREEBOX ou XBOX vérifiez que les connexions sur le port 9000 sont bien transmises vers votre poste client
En effet, pour XDEBUG, il faut généralement ouvrir le port 9000 sur ce routeur et le faire suivre sur votre PC où tourne l'IDE. Sur un routeur VODAFONE, par exemple, cela peut ressembler à ceci:

Utiilisez des adresses IP statiques

Mais si votre routeur est programmé pour attribuer des IP dynamiques par DHCP, il se peut qu'un jour votre téléphone mobile se voit attribuer l'IP 192.168.155 qu'avait votre PC lorsque vous avez configuré XDEBUG.
La solution est de forcer une ip statique lors la connexion de votre PC à votre routeur.
Sous Debian 9, avec NETWORK MANAGER cela peut se réaliser ainsi:

click droit sur l’icone wifi du tableau de bord

Configurer les connexions réseau > Définir une IP FIXE dans l’onglet IPV4

Faire passer votre connexion sur le port Xdebug via un tunnel SSH

Un autre renforcement de la connexion est d'établir une connexion SSH sur le port XDEBUG avant de lancer Xdebug Eclipse:

ssh -R 9000:localhost:9000 user@example.com

Vérifier qu'eclipse écoute sur le port de XDEBUG

$ sudo netstat -tnlp|grep 9003
tcp6 0 0 :::9003 :::* LISTEN 71098/java

Vérifier le traffic sur le port xdebug

Vous pouvez utiliser iptables pour vérifier que vous recevez bien quelquechose sur le port (9003 ici) où vous avez paramétré xdebug en déclenchant des logs dans syslog:

$ sudo iptables -I INPUT -p tcp --dport 9003 --syn -j LOG --log-prefix "HTTPS SYN: "

puis surveiller syslog pendant que vous lancez la page à débugger:

sudo tail -f /var/log/syslog

Mar 3 12:45:10 kmcs kernel: [14804.033727] HTTPS SYN: IN=enp3s0 OUT= MAC=b0:25:aa:35:14:85:60:12:3c:cc:82:09:08:00 SRC=s.s.s.s DST=d.d.d.d LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=38315 DF PROTO=TCP SPT=54306 DPT=9003 WINDOW=29200 RES=0x00 SYN URGP=0

Supprimer un utilisateur du port: fuser -k 9000/tcp

Conflit avec les alias

Si vous avez un alias défini sur votre domaine qui accède à un autre document root, xdebug ou Eclipse (?) ajoute automatiquement des path mapping à sa définition lorsque vous accédez à cet alias et ça ne break plus.

Exemple avec un Alias /phpmyadmin /usr/share/phpmyadmin. Xdebug ne break plus dès que vous accédez à votre-domaine.com/phpmyadmin. Faut passer par le-nom-du-server/phpmyadmin.

Autre methode avec plugin firefox

D'après https://jonathansblog.co.uk/remote-debugging-php-in-eclipse-with-xdebug

Télécharger le plugin FF https://addons.mozilla.org/en-US/firefox/addon/xdebug-helper-for-firefox/

Dans Eclipse > paramètres > php > debug > debugger > choisir xdebug > configure > chosir "Accept remote session" = any (peu importe le port)

Dans FF cliquer sur licone Xdebug dans la barre d'adresse > Debug ou Disable pour arrêter

Rafraichir la page.