FTPおよびWWWサービスは接続を確認しません。

FTPおよびWWWサービスは接続を確認しません。

vsftpdとランプスタック(apache2など)と一緒にLubuntu 14.04 LTSをインストールしました。 LANでは、すべてが正常です。外部では、サービスは接続試行を承認しません。パケットがマシンに到着するのを見ることができますが、tcpdump-i eth0 -AマシンはそのACKを送信しません。sudo ufw status「ステータス:非アクティブ」を報告します。 「iptables」にはルールが設定されていません。iptables -L空の出力があります。

仮想マシンに割り当てられた外部WAN IPとネットワーク内部のホスト名を使用すると、接続は成功します。 WAN IP とホスト名を外部で使用するには、Ubuntu が ACK パケットを送信しないのと同じ動作を行います。

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1494/mysqld
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1277/dnsmasq
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      984/vsftpd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      977/sshd
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      669/cupsd
tcp6       0      0 :::80                   :::*                    LISTEN      2175/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      977/sshd
tcp6       0      0 ::1:631                 :::*                    LISTEN      669/cupsd

あまりにもあきらめないで、LANはクラスAプライベート10.xxx/22ネットワークです。サーバーには、ビジネスVLANの固定アドレスが割り当てられたNICがあります。サーバーの他のNICには、DMZにプライベートクラスC 192.168.xx/24固定アドレスがあります。

両方の内部アドレスのnmapスキャンは、次のように同じ出力を示しています。

Nmap scan report for 192.168.x.x/10.x.x.x
Host is up (0.0018s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

外部IPをスキャンすると、すべてのポートが「フィルタリング」されていることがわかります。これは、nmapがSYN / ACKまたはACK応答を受け取っていないことを意味します。

Starting Nmap 5.21 ( http://nmap.org ) at 2015-02-10 06:28     UTC
Host is up.
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   filtered ssh
80/tcp   filtered http
3306/tcp filtered mysql

答え1

あなたのサービスはすべてのインターフェイスでリッスンしていますか?たとえば、次のコマンドを実行します。

# netstat -atpn | grep 80 | grep LISTEN
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      2994/httpd

0.0.0.0 または WAN の IP が表示されない場合は、予期した場所で受信するように構成されていません。

答え2

私はついにこれを見つけました。これは直接ファイアウォールの問題ではありません。 LAN用のNICとDMZ用のNICが2つあり、WAN IPが両方のNICにNATで接続されています。デフォルトルートはLAN経由です。インターネットからパケットを受信すると、サーバーはLANのデフォルトパスを介して応答を試みます。 LANを切断すると、サービスはインターネットを介して通信できます。

それでも専用のLAN通信が必要ですが、これについては後で説明します。

関連情報