Por que o sshd ignora solicitações de conexão de determinados IPs?

2
  • A CONFIGURAÇÃO

Duas máquinas em casa, atrás de um modem a cabo e roteador residencial:

gaia : Kubuntu 10.04, 192.168.0.103

pixel : Ubuntu 10.04, 192.168.0.104

router : DLink DI-52, 1.1.1.1 (não é o seu IP real). O roteador está configurado para encaminhar as portas 23 e 10002 para o pixel: 22 e para encaminhar as portas 22 e 10001 para gaia: 22.

Dois hosts externos em redes diferentes em estados diferentes:

zeus : CentOS, IP 2.2.2.2 (não é seu IP real) no Texas

argo : Kubuntu 10.04, IP 3.3.3.3 (não é o seu verdadeiro IP) na Califórnia

  • O PROBLEMA

Se eu fizer SSH de zeus para roteador : 22,: 23,: 10001 ou: 10002, ele se conectará bem (a gaia, pixel, gaia e pixel , respectivamente).

Se eu fizer SSH de argo para roteador : 23 ou: 10002, ele se conectará a pixel bem. Se eu for SSH de argo para roteador : 22 ou: 10001, ele não se conecta a gaia ; o pacote SYN nunca é respondido (eu assisti isso com o Wireshark em gaia para verificar se gaia não envia nada de volta para argo ). Também testado com outros hosts na mesma rede que o argo ; nenhum deles chega mais longe. O SSH dump (-vvv) é assim:

@@ 08:29:04 Sat Sep 18 [user@argo - ~]$ ssh 1.1.1.1 -vvv
OpenSSH_5.3p1 Debian-3ubuntu4, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /home/user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 1.1.1.1 [1.1.1.1] port 22.
debug1: connect to address 1.1.1.1 port 22: Connection timed out
ssh: connect to host 1.1.1.1 port 22: Connection timed out
@@ 08:39:00 Sat Sep 18 [user@argo - ~]$ 

Agora, para tornar as coisas ainda mais estranhas: Eu tenho um cliente VPN no gaia que me permite passar pelo firewall que está na rede corporativa do argo . Este cliente VPN dá gaia um IP adicional (172.16.1.1, novamente não é real). Se eu tentar ssh para esse IP de argo , ele se conectará bem.

Então, minha pergunta é: o que diabos está acontecendo? O gaia por algum motivo não gosta do IP que o argo está usando? O gaia é uma instalação do Kubuntu de dois dias de idade, e eu não fiz nada de estranho como configurar certos intervalos de IP para serem bloqueados de se conectarem ao sshd. E não parece que possa ser algo sobre o pacote SYN que o gaia não gosta, já que ele permitirá que argo se conecte se for ao IP da VPN.

EDIT : Acabei de descobrir que esse problema só ocorre quando o cliente VPN está sendo executado no gaia . Assim que eu desligar, o argo pode se conectar ao gaia através do seu IP público. Alguma idéia de por que isso seria?

EDIT 2 : Meu próximo palpite é que o cliente VPN diga à pilha IP para ignorar quaisquer pacotes vindos do IP público do firewall corporativo, para ter certeza de que enquanto a VPN estiver ativa, todos os dados de O gaia para a rede corporativa passa pela VPN, e não pelo firewall público. Isso não me causa um problema real, porque ainda posso usar o SSH diretamente para o gaia usando seu IP VPN em vez do IP do roteador, mas é um pouco confuso.

    
por dirtside 18.09.2010 / 17:52

2 respostas

1

Oh, cara. Eu serei perfeitamente honesto aqui. Eu não entendo completamente o seu problema. Não porque você não tenha dito bem, é apenas um pouco complicado. Agora meu cérebro está doendo.

Dito isto, há algumas coisas que você deve analisar. As mais óbvias são regras de firewall nos servidores e listas de acesso nos roteadores. Leva apenas um erro de digitação para fazer sua rede parecer confusa. Uma foto pode ajudar? =)

Outra é se o Split Tunneling está ativado. É considerado um risco de segurança, por isso é recomendado que seja desativado. Mas isso pode resultar em computadores não obtendo acesso a redes que não estão do outro lado da VPN. É possível que as suas tentativas de conexão estejam funcionando.


- Christopher Karel

    
por 18.09.2010 / 22:05
0

Houve um problema com o OpenBSD, eu acho, em que o SSHD foi configurado para não aceitar conexões de portas tcp source abaixo de 1000 ou algo similar - isso me confundiu muito. até que eu encontrei. Os sintomas eram semelhantes - eu poderia conectar-me a partir de uma máquina, mas não de outra, sem nenhuma razão que eu pudesse pensar.

Considerando os comentários anteriores sobre VPN e tunelamento dividido, é mais provável que seja o culpado.

    
por 19.09.2010 / 05:49