SFTP sendo bloqueado de saída

Navegue suas respostas
1

Eu tenho um problema onde no meu servidor sftp está sendo permitido, mas a partir do servidor não posso sair.

Eu modifiquei o filtro de pacotes para permitir isso.

As regras que adicionei são as seguintes

Entrada de SFTP

Protocolo: TCP Porta de Origem: Qualquer Porto de destino: 22 IP de Origem Adicionar: Qualquer Endereço IP Máscara de Origem: 0.0.0.0 Endereço IP de Dessination: Meu Endereço IP Máscara de Destino: 255.255.255.255

Saída de SFTP

Protocolo: TCP Porto de Origem: 22 Porta de Destino: Qualquer IP de origem Adicionar: Meu endereço IP Máscara de Fonte: 255.255.255.255 Endereço IP de Desination: Qualquer endereço IP Máscara de Destino: 0.0.0.0

Eu desativei minha caixa do Cisco que permitia a porta 22 e o TCP de qualquer maneira.

Não consigo ver o que está bloqueando, mas acho que pode ser a máscara de destino ou a máscara de origem.

    
por Paul 08.09.2010 / 10:31

2 respostas

4

Suas regras de firewall parecem ótimas para a parte do servidor. Se o problema é que, a partir da máquina do servidor (que você estaria usando como um cliente para essa finalidade), você está tentando se conectar a um servidor SFTP (SSH) remoto, as regras de firewall estão erradas.

Fazer uma conexão SFTP de saída não significa que a porta de origem será 22 (na verdade, é muito improvável, mais ainda se já houver um servidor em execução nessa porta). A porta de destino também será 22, mas a porta de origem será algo geralmente aleatório (ou não muito aleatório, mas dentro de um intervalo diferente, não utilizado pelas portas do servidor em geral, digamos > 10000). Para conexões de saída, sua primeira regra ainda se aplica, mas seria necessário uma máscara de destino diferente.

O problema é que, se você permitir algo assim: 

Protocol: TCP
Source Port: Any
Destination Port: 22
Source IP Add: Any
Ip Address Source Mask: 0.0.0.0
Desination IP Address: My IP Address
Destination Mask: 0.0.0.0

Você está abrindo todas as suas portas para qualquer um que possa ajustar seu cliente para vir de uma porta 22, o que não é bom. O que você deseja é permitir apenas conexões de entrada novas e estabelecidas para a porta 22.

Para ser honesto, não sei como isso funciona no Windows, mas é para isso que NEW , ESTABLISHED e RELATED estão em iptables no Linux.

    
por 08.09.2010 / 14:59
2

Se você quer dizer que, para o tráfego de saída, o servidor está agindo como um cliente, sua regra de saída está errada, como Bruno afirmou em sua resposta. Ao agir como um cliente, o servidor usará uma porta efêmera em seu final e se conectará ao servidor remoto na porta 22 do servidor remoto. Se foi isso que você quis dizer, será necessário inverter as portas de origem e de destino na regra de saída. A fonte deve ser qualquer porta e o destino deve ser a porta 22.

    
por 08.09.2010 / 16:17

Tags

Como atualizar o arquivo de banco de dados Postgresql 8.3 para 8.4 Configura o SNMP entre um roteador Cisco e uma caixa Linux