新しいサブネット上のシステムのSSH - 接続タイムアウト

新しいサブネット上のシステムのSSH - 接続タイムアウト

私はRHEL4とRHEL5を使用しています。

最近、172.16.32.0/24 を使用して新しい Linux システムセットが設定されました。既存のRHELシステムは172.16.1.0/22および172.16.4.0/22で実行されます。 172.16.4.39から172.16.1.1にsshを試しても問題ありません。

> traceroute 172.16.1.156
traceroute to 172.16.1.156 (172.16.1.156), 30 hops max, 46 byte packets
 1  swt0 (172.16.4.240)  1.396 ms  1.380 ms  1.758 ms
 2  172.16.1.156 (172.16.1.156)  579.076 ms  573.315 ms  574.878 ms

新しいマシンにSSHを接続すると、そのマシンへのパスを追跡できますが、SSHタイムアウトが発生します。

> traceroute 172.16.32.11
traceroute to 172.16.32.11 (172.16.32.11), 30 hops max, 46 byte packets
 1  swt0 (172.16.4.240)  5.968 ms  1.641 ms  1.476 ms
 2  * * *     <----- could be misconfiguration, not sure how to troubleshoot this.
 3  172.16.32.11 (172.16.32.11)  273.330 ms  271.820 ms  274.223 ms

> ssh -v -v -v 172.16.32.11
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 172.16.32.11 [172.16.32.11] port 22.
debug1: connect to address 172.16.32.11 port 22: Connection timed out
ssh: connect to host 172.16.32.11 port 22: Connection timed out

スイッチ(swt0)とファイアウォールに同様のパスを追加して、172.16.32.0/24が同じゲートウェイ172.16.5.253を指すようにしました。また、172.16.4.39(sshを試しているマシン)のホスト.許可ファイルに新しい行を追加しました。

> cat /etc/hosts.allow
ALL: 127.0.
ALL: 172.16.0.0/255.255.252.0
ALL: 172.16.4.0/255.255.252.0
ALL: 172.16.24.0/255.255.252.0
ALL: 172.16.32.0/255.255.255.0

172.16.4.0/22 172.16.32.0/24の間でsshが機能するように他のファイルを確認/変更する必要があるかどうかを提案できますか?

ping出力とroute -n

> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.4.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         172.16.4.240    0.0.0.0         UG    0      0        0 eth0

> ping 172.16.32.11
PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data.
64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=1 ttl=62 time=259 ms
64 bytes from 172.16.32.11: icmp_seq=2 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=3 ttl=62 time=268 ms

--- 172.16.32.11 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 259.331/266.884/269.777/4.408 ms, pipe 2

答え1

2つのネットワーク間のルーターにアクセスできるポートを制限するファイアウォールがある可能性がありますか?ファイアウォールではICMPパケット(ping)転送を許可しますが、SSHパケット転送は許可しない可能性があります。 172.16.32.11でポートスキャンを試みます。

nmap 172.16.32.11

到達可能なポートとファイアウォールによってブロックされた(「フィルタリング」)ポートを表示する必要があります。

> ping 172.16.32.11
PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data.
64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms

しかし、この遅延はどうなりますか?ネットワーク接続が遅いですか?それとも別の問題による症状ですか? LANでは、待機時間は1ミリ秒未満でなければなりません。

関連情報