Kubuntu 21.10の最新インストールを実行します。
マイコンピュータでネットワークサービスを実行すると、ネットワークの他の場所からそのサービスにアクセスできなくなります。エラーは常に「ホストに接続できません」です。スキャンtcpdump
の結果、SYNパケットがホストに到着しましたが、ICMP「管理禁止」パケットがすぐに再送信されたことを示します。パケットは到着しませんiptables
(接続に一致するルールを追加することで確認され、そのカウンタは絶対に増加しません)。
nmap
ポートが開いているかどうかを検出する方法はありませんが、そのスキャンがカウンタに表示されます。nmap
禁止されたパケットはICMPであるため、SYNパケットへの応答は送信されないため、ポートはフィルタリングされたと解釈されます。
以下は、tcpdump
他のコンピュータが接続しようとしたときに発生するポート8000で積極的にリッスンするサービスを持つホストの出力です。
04:43:09.154362 IP 192.168.1.3.56608 > 192.168.1.183.8000: Flags [S], seq 3664350430, win 64240, options [mss 1460,sackOK,TS val 2819866111 ecr 0,nop,wscale 7], length 0
04:43:09.154417 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 68
nmap
スキャンすると、次のことが発生します。
04:44:49.060156 ARP, Request who-has 192.168.1.183 tell 192.168.1.3, length 46
04:44:49.060177 ARP, Reply 192.168.1.183 is-at 74:e6:e2:da:19:0f, length 28
04:44:49.156156 IP 192.168.1.3.33094 > 192.168.1.183.8000: Flags [S], seq 4114316293, win 1024, options [mss 1460], length 0
04:44:49.156260 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 52
iptables
はい完全明らかに、すべてのポリシーは基本的にオンチェーンであり、チェーンACCEPT
にはルールはありません。filter
nat
mangle
提供するできるlocalhost
マシン自体のマシンIPを利用してローカル接続が可能です。唯一の問題は、ネットワークからアクセスを試みることです。
私のコンピュータにDockerがありますが、この問題を解決するためにDockerを無効にし、すべてのルールとiptables
チェーンを削除しました。サービスがDockerコンテナで起動した場合はいネットワークからアクセス可能です。しかし、サービスを運営しようとしています。外部コンテナの。
そのマシンにはVirtualBoxもインストールされていますが(該当する場合)、テスト時に実行されていたVirtualBoxマシンはありませんでした。
また、注目すべき点は、SSHサーバーがホスト上で実行されていることです。できる成功したアクセス - 実行中の他のサービスに関係なくアクセスできる唯一のサービスです。
Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-26 11:00 UTC
Nmap scan report for 192.168.1.183
Host is up (0.00035s latency).
Not shown: 65534 filtered ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: *redacted*
Too many fingerprints match this host to give specific OS details
Nmap done: 1 IP address (1 host up) scanned in 78.45 seconds
これが起こるカーネル設定はどこにありますか?
編集:ここで要求されたようにiptables-save
出力がありますが、完全に空です。
# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022
# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022
答え1
クバントゥであることが判明しました最新のCentOSバージョンでも同じ「問題」があります。を使用しているので完全に明確ですnftables
が、iptables
IPスタックを使用する別のファイアウォールがあります。
この追加のファイアウォールを無効にしてiptablesのみを使用したい場合は、簡単な解決策は次のとおりです。
sudo systemctl disable --now firewalld