Introdução curta: Eu tenho 2 servidores. Servidor doméstico e em local remoto Raspberry Pi. Ambos estão rodando ssh, postfix (rpi como backup), bind (home server para lan apenas), squid3, fail2ban e outros (possivelmente não tão importantes).
Ambos estão por trás de roteadores com IPs públicos estáticos. Problema começou há alguns dias com conexão casual (ssh) da rede doméstica para rpi e conexão foi mal sucedida (expirou), verificou que o IP está sendo resolvido corretamente e tentou de telefone para conectar - funcionou. Tentei se conectar ao roteador (WebUI) funcionou, nada está sendo bloqueado / banido. Tentei conectar através de http-proxy (de casa para rpi) funcionou.
O nmap'ing mostra que a porta 22 está sendo filtrada, mas fazer a mesma coisa do trabalho mostrou que a porta está aberta. Do trabalho ssh'ed para casa e, em seguida, tentou ssh em rpi e a mesma coisa.
Verificamos iptables em ambos os dispositivos e o IP não está sendo bloqueado.
Eu posso ssh de rpi para casa, mas não vice-versa. O tcpdump mostra que a casa está enviando pacotes, mas o rpi mostra que nada está sendo recebido.
Tentei conectar o PC portátil diretamente à tomada Ethernet da parede, mas a mesma situação.
rpi: # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-recidive
-N fail2ban-ssh
-A INPUT -p tcp -j fail2ban-recidive
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-recidive -j RETURN
-A fail2ban-ssh -s 91.224.161.69/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 85.25.120.207/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 113.21.228.166/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.243.194/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 183.61.109.240/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 116.31.116.48/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
nenhum dos IPs proibidos é meu.
Já tentei SSH Server Não está respondendo ao pedido de conexão
Se alguns registros ou testes forem necessários, por favor, diga!
Obrigado antecipadamente!
Tentei sudo traceroute -4T -p 22 [ip_address] com porta específica e descobri que todos os pacotes (não apenas ao tentar ssh em rpi, mas também para outros servidores) com a porta de destino 22 são parados no gateway do meu ISP. Abriu outra porta para o ssh e agora tudo funciona como um encanto.
Tags ssh iptables fail2ban linux raspberry-pi