ICMP(ターゲットホストに接続できません)、単純なpingが同じホストに到達しても

ICMP(ターゲットホストに接続できません)、単純なpingが同じホストに到達しても

互いに直接接続されている2つのCentOSホストでポート179(BGP)を使用していくつかのアプリケーションを設定しましたが、接続を確立できないようで、tcpdump何が起こっているのかを確認し始めました。

$ tcpdump --interface ens20 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens20, link-type EN10MB (Ethernet), capture size 262144 bytes
09:10:53.715981 IP 10.0.5.2.46577 > 10.0.5.3.179: Flags [S], seq 4065918158, win 29200, options [mss 1460,sackOK,TS val 2186333430 ecr 0,nop,wscale 7], length 0
09:10:53.716897 IP 10.0.5.3 > 10.0.5.2: ICMP host 10.0.5.3 unreachable - admin prohibited filter, length 68
09:10:59.179303 ARP, Request who-has 10.0.5.2 tell 10.0.5.3, length 28
09:10:59.179322 ARP, Reply 10.0.5.2 is-at 3e:63:58:e9:a3:d9, length 28

わかりました。他のホストはアクセスすらできないようです。私はすでにpingを試していて、うまくいくと確信していたので、これは奇妙です。したがって、ping -I ens20 10.0.5.2ホストシステムで再試行してください10.0.5.3。 (そして確実にするために反対の場合も試みたが同じ効果がありました。)

09:11:40.186862 IP 10.0.5.2 > 10.0.5.3: ICMP echo request, id 3941, seq 1, length 64
09:11:40.187309 IP 10.0.5.3 > 10.0.5.2: ICMP echo reply, id 3941, seq 1, length 64
09:11:41.233187 IP 10.0.5.2 > 10.0.5.3: ICMP echo request, id 3941, seq 2, length 64
09:11:41.233570 IP 10.0.5.3 > 10.0.5.2: ICMP echo reply, id 3941, seq 2, length 64
09:11:45.260415 ARP, Request who-has 10.0.5.2 tell 10.0.5.3, length 28
09:11:45.260438 ARP, Reply 10.0.5.2 is-at 3e:63:58:e9:a3:d9, length 28
09:11:45.457134 ARP, Request who-has 10.0.5.3 tell 10.0.5.2, length 28
09:11:45.457418 ARP, Reply 10.0.5.3 is-at ae:e9:68:81:26:dc, length 28

いいですね。ping問題は解決され、家主に連絡することができます。いいですね。次のアイデアは次のとおりです。たとえば、telnet -b 10.0.5.2 10.0.5.3 179(from 10.0.5.2)を介してポート179を介して他のホストに直接接続できます。いいえ、telnet: connect to address 10.0.5.3: No route to host。しかし、ポートが開いていますか?はい、telnet -b 10.0.5.2 10.0.5.3 179うまくいきます(から10.0.5.3)。tcpdump上記のアプリケーションと同じTelnet実験エラーを示しています。

完全性のために、インターフェイス設定もここに提供されています(/etc/sysconfig/network-scripts/ifcfg-ens20)。

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens20
UUID=7f8ca407-e96a-497e-865c-972a6f1940d6
DEVICE=ens20
ONBOOT=yes
IPADDR=10.0.5.2
PREFIX=24

(同じホストに異なるインターフェイスが設定されていますが、そのインターフェイスが外部IPアドレスを使用するように設定し、10.0.5.0/24を妨げないようにしたいと思います。)

これらのホストにはアクティブなファイアウォールがなく(CentOS最小インストールの新規インストール)、これらのホストは直接接続されます。なぜ1つの要求は許可されておらず、他の要求は許可されていないのかわかりませんが、複数のインターフェイスの使用に関連している可能性があります。何が起こっているのかについての詳細はどこで見つけることができますか?

答え1

コードが「Destination Unreachable」でタイプが「Administrative Forbidden」のICMPパケットは、TCP / IPスタックではなくパケットフィルタによって生成されます。

nftablesこれを考えると、地位(または財産)が原因をiptables明確にすることができるはずです。

コメントに掲載されているように、CentOSではfirewalldこの機能がデフォルトで有効になっています。このパッケージはfirewall-cmdファイアウォールを設定するためのコマンドを提供します。宛先ポートを開くには、新しいルールを追加する必要があります。

もちろん無効にすることもfirewalld可能ですが、リスクを理解している場合にのみ可能です。

関連情報