Estou configurando o encaminhamento de porta em um roteador SonicWall NSA 220, para a porta 22. Parece que o roteador está encaminhando pacotes TCP como deveria. No entanto, o Wireshark em execução no servidor mostra que o sshd do meu servidor está ignorando essas solicitações de conexão ssh e não está respondendo: nem mesmo tenta enviar nenhum pacote de volta.
Eu posso ssh diretamente para o servidor sobre a mesma interface ethernet (de outro sistema na rede local) muito bem. São apenas os pacotes encaminhados do lado da WAN que não recebem resposta.
Portanto, parece que o culpado pode ser sshd: por algum motivo, ele está ignorando os pacotes encaminhados.
O servidor está executando o RHEL 6. O firewall está desativado.
Alguma idéia de por que o sshd está ignorando as solicitações de conexão encaminhadas? Ou o roteador é o culpado?
O seguinte é a saída tcpdump (estou usando a porta 30002 aqui, mas é o mesmo que a porta 22). O endereço IP do servidor é 192.168.8.33.
08:52:12.350492 IP 192.168.1.32.52205 > 192.168.8.33.30002: Flags [S], seq 2460054041, win 14600, options [mss 1460,sackOK,TS val 453857378 ecr 0,nop,wscale 6], length 0
08:52:13.347513 IP 192.168.1.32.52205 > 192.168.8.33.30002: Flags [S], seq 2460054041, win 14600, options [mss 1460,sackOK,TS val 453857628 ecr 0,nop,wscale 6], length 0
08:52:15.351529 IP 192.168.1.32.52205 > 192.168.8.33.30002: Flags [S], seq 2460054041, win 14600, options [mss 1460,sackOK,TS val 453858129 ecr 0,nop,wscale 6], length 0
08:52:19.363565 IP 192.168.1.32.52205 > 192.168.8.33.30002: Flags [S], seq 2460054041, win 14600, options [mss 1460,sackOK,TS val 453859132 ecr 0,nop,wscale 6], length 0
Aqui está a saída do tcpdump quando eu ssh da LAN, o que é bem sucedido:
08:50:41.844945 IP 192.168.8.253.55442 > 192.168.8.33.30002: Flags [S], seq 2514711830, win 14600, options [mss 1460,sackOK,TS val 4294948065 ecr 0,nop,wscale 6], length 0
08:50:41.844983 IP 192.168.8.33.30002 > 192.168.8.253.55442: Flags [S.], seq 2291827547, ack 2514711831, win 14480, options [mss 1460,sackOK,TS val 6807100 ecr 4294948065,nop,wscale 7], length 0
08:50:41.845290 IP 192.168.8.253.55442 > 192.168.8.33.30002: Flags [.], ack 1, win 229, options [nop,nop,TS val 4294948065 ecr 6807100], length 0
etc....
Aqui está o meu sshd_config no servidor:
sudo grep ^[^'#'] /etc/ssh/sshd_config
Port 22
Port 30002
Protocol 2
SyslogFacility AUTHPRIV
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
Aqui está o iptables:
sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 5350 packets, 314K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2121 packets, 14M bytes)
pkts bytes target prot opt in out source destination
Eu tenho que trabalhar finalmente. Esqueci que meu servidor tem duas interfaces de rede e as duas estavam conectadas: uma à rede LAN do roteador e outra à rede WAN.
Para explicar: a WAN do roteador é 192.168.8. *. A LAN do roteador é 192.168.1. *. O servidor é 192.168.8.32 e o cliente é 192.168.1.33.
Quando eu desconectei o servidor da rede WAN do roteador, de repente tudo funcionou. Eu acho que o RHEL no servidor deve ter sido confundido pelas duas rotas para o cliente 192.168.1.33.
Tags ssh port-forwarding