Регистрация Войти
Рейтинг:0
avatar Server

Как выяснить, что препятствует входящим соединениям на определенном порту?

флаг cn
einpoklum

Я хотел бы включить SSH-соединения на дополнительном порту на моей машине по причинам. Это физическая машина (не виртуальная машина), на которой работает Devuan GNU/Linux Chimaera (~= Debian 11.0 без systemd). Сервер SSH по умолчанию (OpenSSH_8.4p1 Debian-5, OpenSSL 1.1.1k) работает нормально и уже принимает соединения на порту 22.

я добавил два Порт записи в моем /etc/sshd_config:

Порт 22
Порт 5123

и перезапустил службу.

Теперь я испытываю то, что с одной и той же машины я могу подключиться к обоим портам (ssh -p 5123 локальный хост работает); но с других машин в локальной сети я могу подключиться только к порту 22. Это физическая локальная сеть (кабели идут к свитчу), поэтому на пути не должно быть засоров.

  • Я не смог найти упоминания об отклоненном соединении в /var/log/auth.log.
  • Я проверил /etc/hosts.разрешить и /etc/hosts.deny - они оба пусты (кроме строк комментариев).
  • Я пытался iptables --список - все столы пусты.

Итак, что может блокировать соединение по порту 5123 с других машин и как его разблокировать?

Редактировать: Дополнительная информация:

# lsof-Pi :5410
КОМАНДА PID ПОЛЬЗОВАТЕЛЬ ТИП FD УСТРОЙСТВО РАЗМЕР/ВЫКЛ НАЗВАНИЕ УЗЛА
sshd 27566 root 3u IPv4 19305483 0t0 TCP *:5410 (СЛУШАТЬ)
sshd 27566 root 4u IPv6 19305485 0t0 TCP *:5410 (СЛУШАТЬ)

# iptables-сохранить
# Предупреждение: таблицы iptables-legacy присутствуют, используйте iptables-legacy-save, чтобы увидеть их
# iptables-legacy-сохранить 
# Сгенерировано iptables-save v1.8.7, воскресенье, 10 октября, 09:30:15 2021 г.
*фильтр
: ВХОД DROP [3837243:374065333]
:ВПЕРЕД КАПИТЬ [0:0]
: ВЫВОД ПРИНЯТ [8124295:583169789]
-A ВВОД -m состояние --state НЕДЕЙСТВИТЕЛЬНО -j DROP
-A ВВОД -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ВВОД -i lo -j ПРИНЯТЬ
-A ВВОД -p icmp -j ПРИНЯТЬ
-A ВВОД -p udp -m udp --dport 500 -j ПРИНЯТЬ
-A ВВОД -p esp -j ПРИНЯТЬ
-A ВВОД -p ah -j ПРИНЯТЬ
-A INPUT -p tcp -m tcp --dport 22 -j ПРИНЯТЬ
-A FORWARD -m состояние --state INVALID -j DROP
-A ВПЕРЕД -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ВЫВОД -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
СОВЕРШИТЬ
# Завершено вс 10 октября 09:30:15 2021

Итак, похоже, есть правило для приема порта 22 в качестве входа, но нет такого правила для порта 5123. Однако остается вопрос - в чем причина этой ситуации?

# кот /etc/nftables.conf
#!/usr/sbin/nft -f

очистить набор правил

таблица инет фильтр {
    цепочка ввода {
        введите приоритет ввода хука фильтра 0;
    }
    цепочка вперед {
        type filter hook forward Priority 0;
    }
    выход цепи {
        type приоритет вывода обработчика фильтра 0;
    }
}

В Debian 11 и Devuan Chimaera, iptables на самом деле символическая ссылка:

# readlink `какой iptables`
/etc/альтернативы/iptables
# readlink -f `какой iptables`
/usr/sbin/xtables-nft-multi
119
0 + 0
A.B avatar
флаг cl
A.B
`iptables-save` + `nft list ruleset` (протестируйте оба варианта или только последний) действительно сказали бы, что брандмауэра нет. `iptables --list` отображает только одну из множества возможных таблиц (и в формате, который в любом случае нельзя использовать повторно). Просто чтобы исключить эту возможную причину и перейти к другим догадкам.
0
Ответить
djdomi avatar
флаг za
djdomi
как насчет первого и простого `lsof -Pi :5123`, чтобы убедиться, что порт указан в любом месте. так как вы не сказали, какой хостер является сервером, нам нужно больше, чертовски больше контекста
0
Ответить
флаг cn
einpoklum
@AB: см. редактирование.
0
Ответить
флаг cn
einpoklum
@djdomi: см. редактирование.
0
Ответить
A.B avatar
флаг cl
A.B
Между «я попробовал iptables --list — все таблицы пусты» и фактическими правилами брандмауэра с отбрасыванием по умолчанию… это, безусловно, изменилось. Также есть (вероятно, пустые, но кто знает?) правила, использующие прежний API (`iptables-legacy-save`).
0
Ответить
A.B avatar
флаг cl
A.B
Возможно, iptables имеет символическую ссылку на iptables-legacy, а iptables-save и iptables-restore связаны с iptables-nft-save и iptables-nft-restore (он же xtables-nft-multi). `), что объясняет эту часть.
0
Ответить
djdomi avatar
флаг za
djdomi
по-прежнему отсутствует информация, какой хостер используется.
0
Ответить
флаг cn
einpoklum
@djdomi: я не совсем понял, что вы имели в виду во втором предложении... «хостер»? "Быть быть"?
0
Ответить
флаг cn
einpoklum
@A.B: Да, это связано с `xtables-nft-multi`.
0
Ответить
djdomi avatar
флаг za
djdomi
Вы размещаете самостоятельно или используете общедоступного хостера, это может быть проблемой. Некоторые порты на разных хостерах заблокированы
0
Ответить
флаг cn
einpoklum
@djdomi: я обсуждаю физические машины в физической локальной сети, никто ничего не размещает... :-P
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.