VMware pode ssh para gues, mas não pode telnet

Question

VMware pode ssh para gues, mas não pode telnet

#1 resposta do (1 votos)
#2 resposta do (0 votos)

0

Estou executando o VMware Workstation 9.0.2 no Windows 7 Professional com um convidado do CentOS 6.4 usando a rede em ponte. A LAN na qual o host está sendo executado é 192.168.123. *, O host é IP estático 192.168.123.2 e o convidado tem IP estático 192.168.123.70.

Eu posso ping e ssh do host para o convidado do CentOS, mas telnet e link falharem conectar. Eu posso fazer telnet e http do convidado para o convidado usando o endereço 192.168.123.70, então as portas do convidado estão definitivamente abertas e sendo ouvidas.

O firewall foi desativado no convidado e não há mensagens no log quando o telnet falha. (O firewall do Windows não restringe as conexões de saída.)

Não consigo pensar em nada que possa permitir o ssh, mas não permitir o telnet. (Eu posso conectar do host ao convidado quando eu uso telnet 192.168.123.70 22 , mas telnet 192.168.123.70 23 não conecta).

Outros dados:

Aqui está a saída de /sbin/ifconfig -a do convidado:

eth0      Link encap:Ethernet  HWaddr 00:0C:29:1F:A5:E3  
          inet addr:192.168.123.70  Bcast:192.168.123.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:589132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:292849 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:864633856 (824.5 MiB)  TX bytes:19627138 (18.7 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:275 errors:0 dropped:0 overruns:0 frame:0
          TX packets:275 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:121617 (118.7 KiB)  TX bytes:121617 (118.7 KiB)

Aqui está a saída de netstat -l do convidado:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 *:8008                      *:*                         LISTEN      
tcp        0      0 *:8010                      *:*                         LISTEN      
tcp        0      0 *:8011                      *:*                         LISTEN      
tcp        0      0 *:http                      *:*                         LISTEN      
tcp        0      0 *:intu-ec-svcdisc           *:*                         LISTEN      
tcp        0      0 *:ssh                       *:*                         LISTEN      
tcp        0      0 election-t1,:ipp            *:*                         LISTEN      
tcp        0      0 *:https                     *:*                         LISTEN      
tcp        0      0 *:8030                      *:*                         LISTEN      
tcp        0      0 *:ssh                       *:*                         LISTEN      
tcp        0      0 *:telnet                    *:*                         LISTEN      
udp        0      0 *:ipp                       *:*                                     
udp        0      0 192.168.123.70:ntp          *:*                                     
udp        0      0 election-t1,:ntp            *:*                                     
udp        0      0 *:ntp                       *:*                                     
udp        0      0 *:ntp                       *:*

Qualquer sugestão quanto à possível causa de quais informações adicionais procurar seria muito apreciada. Eu não tenho um modelo mental que possa explicar esse comportamento.

Adendo: Reiniciei o serviço xinetd no guest e parei o Firewall do Windows no host - sem efeito algum.

Adendo 2: Saída de sudo iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ssh networking vmware telnet

por Tom West 15.07.2013 / 20:08

2 respostas

0

Se houver suspeita de bloqueio de firewall, você pode experimentar alguns dos testes da VMware em IsMyPortBlocked

Você também pode inserir sua própria lista de portas TCP e UDP.

por 24.07.2013 / 03:09

Tags ssh networking vmware telnet

MS Excel: é 'ABCD sempre exatamente igual a =' ABCD 'em uma célula? Como parar a conexão de bloqueio do roteador de internet

score 1 · Accepted Answer

É um pouco difícil dizer (eu deveria ter dito a saída de sudo iptables -L -n -v , então poderíamos ver o especificador da interface; é provavelmente lo na regra que parece aceitar tudo), mas parece o firewall do convidado está bloqueando a conexão, pois a única aceitação aparentemente relevante que você tem é por state NEW tcp dpt:22 (permitindo novas conexões SSH; as conexões TCP existentes são tratadas pela primeira regra).

Tente executar sudo iptables -I INPUT 5 -p tcp --dport 80 -j ACCEPT e tentar novamente a conexão do host; Isso deve permitir que você se conecte via HTTP. (O 5 coloca-o imediatamente antes da regra REJECT ) Se isso funcionar, você precisará verificar corretamente como permitir conexões ao host no telnet (23 / tcp), http (80 / tcp) e possivelmente portas https (443 / tcp). (Provavelmente há uma maneira do CentOS, mas eu não estou familiarizado com o CentOS especificamente.)

No entanto, a menos que isso seja estritamente para teste (e, mesmo assim, eu teria minhas dúvidas), reconsidere sua decisão de permitir o acesso por telnet. O Telnet é descriptografado e totalmente inseguro; Qualquer pessoa com um sniffer de pacotes em qualquer lugar ao longo do caminho poderá monitorar todo o tráfego, incluindo nomes de usuário e senhas em texto simples. Telnet remonta a 1969 , quando a Internet era um lugar muito diferente . Considere apenas permitir o SSH, a menos que você tenha algum aplicativo específico que requeira telnet especificamente.

Também noto que você tem uma regra REJECT no final da cadeia INPUT, seguida por uma política ACCEPT. A menos que você tenha algum motivo específico para configurá-lo dessa maneira, a maneira normal de configurar uma ação de rejeição padrão é simplesmente definir a política na cadeia ( sudo iptables -P INPUT REJECT deve fazer isso); então você não precisa de uma regra explícita de rejeição.