私はRHEL4とRHEL5を使用しています。
最近、172.16.32.0/24 を使用して新しい Linux システムセットが設定されました。既存のRHELシステムは172.16.1.0/22および172.16.4.0/22で実行されます。 172.16.4.39から172.16.1.1にsshを試しても問題ありません。
> traceroute 172.16.1.156
traceroute to 172.16.1.156 (172.16.1.156), 30 hops max, 46 byte packets
1 swt0 (172.16.4.240) 1.396 ms 1.380 ms 1.758 ms
2 172.16.1.156 (172.16.1.156) 579.076 ms 573.315 ms 574.878 ms
新しいマシンにSSHを接続すると、そのマシンへのパスを追跡できますが、SSHタイムアウトが発生します。
> traceroute 172.16.32.11
traceroute to 172.16.32.11 (172.16.32.11), 30 hops max, 46 byte packets
1 swt0 (172.16.4.240) 5.968 ms 1.641 ms 1.476 ms
2 * * * <----- could be misconfiguration, not sure how to troubleshoot this.
3 172.16.32.11 (172.16.32.11) 273.330 ms 271.820 ms 274.223 ms
> ssh -v -v -v 172.16.32.11
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 172.16.32.11 [172.16.32.11] port 22.
debug1: connect to address 172.16.32.11 port 22: Connection timed out
ssh: connect to host 172.16.32.11 port 22: Connection timed out
スイッチ(swt0)とファイアウォールに同様のパスを追加して、172.16.32.0/24が同じゲートウェイ172.16.5.253を指すようにしました。また、172.16.4.39(sshを試しているマシン)のホスト.許可ファイルに新しい行を追加しました。
> cat /etc/hosts.allow
ALL: 127.0.
ALL: 172.16.0.0/255.255.252.0
ALL: 172.16.4.0/255.255.252.0
ALL: 172.16.24.0/255.255.252.0
ALL: 172.16.32.0/255.255.255.0
172.16.4.0/22 172.16.32.0/24の間でsshが機能するように他のファイルを確認/変更する必要があるかどうかを提案できますか?
ping出力とroute -n
:
> route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 172.16.4.240 0.0.0.0 UG 0 0 0 eth0
> ping 172.16.32.11
PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data.
64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=1 ttl=62 time=259 ms
64 bytes from 172.16.32.11: icmp_seq=2 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=3 ttl=62 time=268 ms
--- 172.16.32.11 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 259.331/266.884/269.777/4.408 ms, pipe 2
答え1
2つのネットワーク間のルーターにアクセスできるポートを制限するファイアウォールがある可能性がありますか?ファイアウォールではICMPパケット(ping)転送を許可しますが、SSHパケット転送は許可しない可能性があります。 172.16.32.11でポートスキャンを試みます。
nmap 172.16.32.11
到達可能なポートとファイアウォールによってブロックされた(「フィルタリング」)ポートを表示する必要があります。
> ping 172.16.32.11 PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data. 64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms
しかし、この遅延はどうなりますか?ネットワーク接続が遅いですか?それとも別の問題による症状ですか? LANでは、待機時間は1ミリ秒未満でなければなりません。