înregistrare Logare
Puncte:0
avatar Server

Cum îmi dau seama ce împiedică conexiunile de intrare pe un anumit port?

drapel cn
einpoklum

Din motive, aș dori să activez conexiunile SSH pe un port suplimentar al mașinii mele. Este o mașină fizică (nu o VM), care rulează Devuan GNU/Linux Chimaera (~= Debian 11.0 fără systemd). Serverul SSH implicit (OpenSSH_8.4p1 Debian-5, OpenSSL 1.1.1k) rulează bine și acceptă deja conexiuni pe portul 22.

Am adăugat două Port intrări la mine /etc/sshd_config:

Portul 22
Portul 5123

și au repornit serviciul.

Ceea ce experimentez acum este că din cadrul aceleiași mașini, mă pot conecta la ambele porturi (ssh -p 5123 localhost lucrări); dar de la alte mașini de pe LAN, mă pot conecta doar la portul 22. Acesta este un LAN fizic (cabluri care rulează către un comutator), deci nu ar trebui să existe blocaje pe parcurs.

  • Nu am găsit nicio mențiune despre o conexiune respinsă în /var/log/auth.log.
  • Am verificat /etc/hosts.allow și /etc/hosts.deny - ambele sunt goale (cu excepția liniilor de comentarii).
  • am incercat iptables --list - toate mesele sunt goale.

Deci, ce ar putea bloca conexiunea pe portul 5123 de la alte mașini și cum o pot debloca?

Editați | ×: Informatii suplimentare:

# lsof -Pi :5410
COMANDA PID UTILIZATOR TIP FD DIMENSIUNEA DISPOZITIV/OPRIT NUME NOD
sshd 27566 root 3u IPv4 19305483 0t0 TCP *:5410 (ASCULTATE)
sshd 27566 root 4u IPv6 19305485 0t0 TCP *:5410 (ASCULTATE)

# iptables-salvare
# Avertisment: tabele iptables-legacy prezente, utilizați iptables-legacy-save pentru a le vedea
# iptables-legacy-save 
# Generat de iptables-save v1.8.7 pe duminica 10 octombrie 09:30:15 2021
*filtru
:INPUT DROP [3837243:374065333]
: FORWARD DROP [0:0]
: ACCEPT IEȘIRE [8124295:583169789]
-A INPUT -m stare --stare INVALID -j DROP
-A INPUT -m stare --stare RELATED,STABLISHED -j ACCEPT
-A INTRARE -i lo -j ACCEPT
-A INTRARE -p icmp -j ACCEPT
-A INTRARE -p udp -m udp --dport 500 -j ACCEPT
-A INTRARE -p esp -j ACCEPT
-A INTRARE -p ah -j ACCEPT
-A INTRARE -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m stare --stare INVALID -j DROP
-A FORWARD -m stare --stare RELATED,ESTABLISHED -j ACCEPT
-A IEȘIRE -m stare --stare RELATED,STABLISHED -j ACCEPT
COMMIT
# Finalizat duminică, 10 octombrie, 09:30:15 2021

Deci, se pare că există o regulă pentru acceptarea portului 22 ca intrare, dar nu există o astfel de regulă pentru portul 5123. Întrebarea rămâne totuși - care este cauza acestei situații?

# cat /etc/nftables.conf
#!/usr/sbin/nft -f

set de reguli de culoare

tabel inet filter {
    intrare în lanț {
        tip filtru cârlig prioritate de intrare 0;
    }
    lanț înainte {
        tip filtru cârlig înainte prioritate 0;
    }
    ieșire în lanț {
        tip filtru cârlig ieșire prioritate 0;
    }
}

Pe Debian 11 și Devuan Chimaera, iptables este de fapt un link simbolic:

# readlink `care iptables`
/etc/alternatives/iptables
# readlink -f `care iptables`
/usr/sbin/xtables-nft-multi
119
0 + 0
A.B avatar
drapel cl
A.B
`iptables-save` + `nft list ruleset` (testați ambele sau doar mai târziu) ar spune cu adevărat că nu există firewall. `iptables --list` afișează doar unul dintre mai multe tabele posibile (și într-un format care oricum nu poate fi reutilizat). Doar pentru a exclude această posibilă cauză și a trece la alte presupuneri.
0
Răspunde
djdomi avatar
drapel za
djdomi
Cum este mai întâi și ușor `lsof -Pi :5123` pentru a verifica dacă portul este listat oriunde. din moment ce nu ai spus ce hoster este serverul, avem nevoie de mai mult, mai mult context
0
Răspunde
drapel cn
einpoklum
@A.B: Vezi editarea.
0
Răspunde
drapel cn
einpoklum
@djdomi : Vezi editarea.
0
Răspunde
A.B avatar
drapel cl
A.B
Între „Am încercat iptables --list - toate tabelele sunt goale” și regulile reale de firewall cu drop implicit... cu siguranță s-a schimbat. Apoi mai sunt (probabil goale, dar cine știe?) reguli care folosesc fostul API (`iptables-legacy-save`).
0
Răspunde
A.B avatar
drapel cl
A.B
Poate că `iptables` este legat de `iptables-legacy`, în timp ce `iptables-save` și `iptables-restore` sunt legate de `iptables-nft-save` și `iptables-nft-restore` (alias `xtables-nft-multi `) care ar explica această parte.
0
Răspunde
djdomi avatar
drapel za
djdomi
încă lipsesc informații despre ce hoster este folosit.
0
Răspunde
drapel cn
einpoklum
@djdomi: Nu prea am înțeles ce ai vrut să spui în a doua propoziție... „gazdă”? „ființa fi”?
0
Răspunde
drapel cn
einpoklum
@A.B: Da, este legat de `xtables-nft-multi`.
0
Răspunde
djdomi avatar
drapel za
djdomi
găzduiești pe cont propriu sau folosești un hoster public, care ar putea fi problema. unele porturi sunt blocate pe diferite hoster
0
Răspunde
drapel cn
einpoklum
@djdomi: discut despre mașini fizice pe un LAN fizic, nimeni nu găzduiește nimic... :-P
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.