Tengo una red doméstica pequeña y tengo problemas para acceder a una de las computadoras de esa red. La red doméstica tiene NAT, y he configurado un reenvío de puertos y un DNS dinámico.
rye
se sienta en mi red doméstica. El puerto público 2222 de mi enrutador se reenvía alrye
puerto 22.sorghum
se sienta en mi red doméstica. El puerto público 22 se reenvía alsorghum
puerto 22.teff
se sienta en una red externa.
Ahora presento el siguiente escenario extraño:
- Puedo usar SSH de
teff
admwit.duckdns.org:2222
, por lo que creo que el DNS dinámico funciona correctamente, el reenvío de puertos arye
funciona correctamente yrye
acepta conexiones de otras computadoras correctamente (es decir, no bloquea las cosas en el nivel del firewall). - Puedo usar SSH de
rye
admwit.duckdns.org:22
, así que creo que el reenvío de puertossorghum
funciona correctamente ysorghum
acepta conexiones de otras computadoras correctamente. - Desde
rye
pedirle a Netcat que se conecte a un puertosorghum
que está siendo bloqueado porsorghum
los resultados del firewall en "No hay ruta al host", mientras queteff
pedirle a Netcat que se conecte a losdmwit.duckdns.org:22
resultados en "Conexión expiró", por lo que creo quesorghum
el firewall no es bloqueando esta conexión - No puedo SSH de
teff
asorghum
(la conexión agota el tiempo de espera).
Esto me parece un poco desconcertante; La evidencia sugiere que cada pieza de la cadena funciona correctamente, pero toda la cadena está rota. Tengo dos preguntas concretas que no están relacionadas entre sí:
- ¿Cómo se puede depurar más este tipo de cosas? ¿Qué herramientas puedo usar para encontrar más detalles sobre lo que está mal?
- ¿Cómo lo arreglo para que pueda pasar de teff a sorgo?
EDITAR: He encontrado una pregunta vagamente relacionada que sugería probar Traceroute. Encendido teff
puedo ver una diferencia significativa entre las salidas de Traceroute para los puertos 22 y 2222:
% traceroute -p 2222 -T dmwit.duckdns.org
traceroute to dmwit.duckdns.org (75.164.159.92), 30 hops max, 60 byte packets
1 gw-40.galois.com (192.168.40.1) 13.722 ms 13.723 ms 17.016 ms
2 66.162.129.25 (66.162.129.25) 17.957 ms 18.106 ms 18.289 ms
3 64-129-238-66.static.twtelecom.net (64.129.238.66) 18.949 ms sea2-pr2-xe-0-3-0-0.us.twtelecom.net (66.192.243.34) 19.250 ms 64-129-238-66.static.twtelecom.net (64.129.238.66) 19.242 ms
4 64.132.69.2 (64.132.69.2) 20.052 ms 20.291 ms 20.284 ms
5 ptld-agw1.inet.qwest.net (67.14.49.2) 22.658 ms 22.942 ms 22.932 ms
6 207.225.86.146 (207.225.86.146) 22.924 ms 8.583 ms 8.591 ms
7 * * *
8 75-164-159-92.ptld.qwest.net (75.164.159.92) 31.056 ms 29.508 ms 29.714 ms
% traceroute -p 22 -T dmwit.duckdns.org -m 60
traceroute to dmwit.duckdns.org (75.164.159.92), 60 hops max, 60 byte packets
1 gw-40.galois.com (192.168.40.1) 1.660 ms 5.667 ms 5.912 ms
2 66.162.129.25 (66.162.129.25) 5.901 ms 12.563 ms 12.555 ms
3 64-129-238-66.static.twtelecom.net (64.129.238.66) 14.227 ms sea2-pr2-xe-0-3-0-0.us.twtelecom.net (66.192.243.34) 12.796 ms 12.787 ms
4 64.132.69.2 (64.132.69.2) 12.778 ms 12.769 ms 12.762 ms
5 ptld-agw1.inet.qwest.net (67.14.49.2) 13.955 ms 13.946 ms 13.937 ms
6 207.225.86.146 (207.225.86.146) 13.931 ms 10.297 ms 10.256 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
<snip>
La segunda continúa así durante 20 líneas más (y continúa más si aumenta el conteo máximo de saltos). No estoy 100% seguro de cómo interpretar esto, así que agregue una tercera pregunta:
- ¿Qué significa esta salida de traceroute?
fuente
* * *
líneas como me gustaría pedir.Respuestas:
¿Has verificado que no hay un bloqueo SSH saliente en el extremo de teff? Demostró que podía conectarse a un sistema doméstico en el puerto 2222 desde teff, pero podría haber un bloqueo saliente en el puerto 22. Si no ha verificado que son posibles las conexiones salientes del puerto 22 desde teff, intente
ssh github.com
de teff. Debería ver un mensaje sobre la clave de github.com. ¿Ha verificado que tiene una regla de firewall adecuada en el punto de demarcación entre la red externa y su red doméstica interna que permitirá una conexión entrante desde la dirección IP de teff en el puerto 22? Veo que dmwit.duckdns.org no está abierto a la conectividad de Internet en el puerto 22 y parece que solo ha verificado que se puede acceder al sorgo desde una dirección de red doméstica interna, lo que no necesariamente significa que haya una regla de firewall adecuada eso permitirá conexiones del puerto 22 desde otro lugar. Mire el registro del cortafuegos en sorgo; ¿ves algo en el registro que indique un intento de conexión al puerto 22 desde teff? Puede intentar una conexión desde un sistema que no sea teff utilizando la prueba de conectividad del servidor SSH y luego examine el registro del cortafuegos de sorgo para ver si se registró alguna actividad, si el sorgo debería ser accesible al menos en el puerto 22 desde Internet, incluso si el cortafuegos está bloqueando la conexión.fuente
tcpdump
encendidosorghum
(como lo verye
), indica que el problema está antessorghum
(es decir, en el enrutador de su casa). Sin embargo, asegúrese de haber especificado la interfaz de red correcta si tiene varias de ellas (p. Ej.tcpdump -i eth0
)Intente configurar sshd para escuchar en otro puerto que no sea el puerto 22 en sorgo (> 1024). Esto puede ser algo específico del proveedor, ya sea en el lado de salida de teffs o en el lado de entrada de centeno / sorgo. Algunos proveedores bloquean ciertos puertos reservados, un buen ejemplo sería el puerto 25 smtp porque ningún proveedor disfruta lidiando con los spammers que escanean sus redes en busca de relés abiertos. De todos modos, estoy convencido de que esta puede ser la razón, el puerto se muestra como filtrado en una prueba de sincronización básica, lo que probablemente significa que podría estar siendo filtrado a nivel de proveedor en el lado de centeno / sorgo (ingreso)
"Filtrado significa que estos puertos se identificaron como detenidos por algo a lo largo de la ruta de red. Podría ser un firewall en el destino, pero también podría estar filtrando reglas en cualquiera de los hosts intermedios entre la auditoría y las máquinas de destino".
Pude confirmar el mismo comportamiento de filtrado con múltiples direcciones dentro de la misma red. Sin embargo, sugiero leer las políticas de AUP de su proveedor de servicios, ya que es probable que se le restrinja el uso del puerto predeterminado. Buena suerte señor.
fuente
22
a, por ejemplo2223
. Si funciona, significa que el firewall del ISP o su enrutador doméstico bloquea el puerto 22.sorghum
fuente
sorghum
. También reenvié el puerto externo 2223 en lugar del puerto externo 22, pero eso no pareció hacer ninguna diferencia: las conexiones ssh al puerto 2223teff
fallaron exactamente de la misma manera.rye
ysorghum
debería comportarse igual ahora, por lo que indica que su enrutador doméstico no está configurado exactamente igual para ambos. Tal vez uno es declarado host DMZ o hay alguna configuración restante (firewall MAC o similar). Quizás borrar la configuración del enrutador e ingresar redirecciones nuevamente debería ayudarlo a realizar configuraciones idénticas para ambos hosts.