%EB%8A%94%20%EB%B0%A9%ED%99%94%EB%B2%BD%EC%9D%B4%20%ED%99%9C%EC%84%B1%ED%99%94%EB%90%98%EC%A7%80%20%EC%95%8A%EC%9D%80%20%EA%B2%BD%EC%9A%B0%EC%97%90%EB%8F%84%20%EA%B8%88%EC%A7%80%EB%90%9C%20ICMP%20%EA%B4%80%EB%A6%AC%EB%A5%BC%20%EB%B0%98%ED%99%98%ED%95%A9%EB%8B%88%EB%8B%A4.%20%EC%96%B4%EB%96%BB%EA%B2%8C%20%EA%B3%A0%EC%B9%98%EB%82%98%EC%9A%94%3F.png)
Kubuntu 21.10의 최신 설치를 실행하십시오.
내 컴퓨터에서 네트워크 서비스를 실행하면 네트워크의 다른 곳에서는 해당 서비스에 액세스할 수 없습니다. 오류는 항상 "호스트에 연결할 수 없음"입니다. 스캔 tcpdump결과 SYN 패킷이 호스트에 도달했지만 ICMP "관리 금지" 패킷이 즉시 다시 전송되었음을 보여줍니다. 패킷이 도착하지도 않습니다 iptables(연결과 일치하는 규칙을 추가하여 확인되었으며 해당 카운터는 절대 증가하지 않음).
nmap포트가 열려 있는지 감지할 방법도 없지만 해당 스캔이 카운터에 표시됩니다. nmap금지된 패킷은 ICMP이므로 SYN 패킷에 대한 응답이 전송되지 않으므로 포트는 필터링된 것으로 해석됩니다.
다음은 tcpdump다른 컴퓨터가 연결을 시도할 때 발생하는 포트 8000에서 적극적으로 수신 대기하는 서비스가 있는 호스트의 출력입니다.
04:43:09.154362 IP 192.168.1.3.56608 > 192.168.1.183.8000: Flags [S], seq 3664350430, win 64240, options [mss 1460,sackOK,TS val 2819866111 ecr 0,nop,wscale 7], length 0
04:43:09.154417 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 68
nmap스캔할 때 다음과 같은 일이 발생합니다.
04:44:49.060156 ARP, Request who-has 192.168.1.183 tell 192.168.1.3, length 46
04:44:49.060177 ARP, Reply 192.168.1.183 is-at 74:e6:e2:da:19:0f, length 28
04:44:49.156156 IP 192.168.1.3.33094 > 192.168.1.183.8000: Flags [S], seq 4114316293, win 1024, options [mss 1460], length 0
04:44:49.156260 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 52
iptables예완전히분명히 말하면 모든 정책은 기본적으로 온체인이며 ACCEPT체인에는 규칙이 없습니다.filternatmangle
제공하다할 수 있는localhost머신 자체의 머신 IP를 이용하여 로컬 접속이 가능합니다. 유일한 문제는 네트워크에서 액세스를 시도하는 것입니다.
내 컴퓨터에 Docker가 있지만 이 문제를 해결하기 위해 Docker를 비활성화하고 모든 iptables규칙과 체인을 삭제했습니다. 서비스가 Docker 컨테이너로 시작되면예네트워크에서 접근 가능합니다. 그런데 서비스를 운영하려고 하는데외부컨테이너의.
해당 머신에는 VirtualBox도 설치되어 있지만(해당하는 경우) 테스트 당시 실행 중인 VirtualBox 머신은 없었습니다.
또한 주목할 만한 점은 SSH 서버가 호스트에서 실행되고 있다는 것입니다.할 수 있는성공적인 액세스 - 실행 중인 다른 서비스에 관계없이 액세스할 수 있는 유일한 서비스입니다.
Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-26 11:00 UTC
Nmap scan report for 192.168.1.183
Host is up (0.00035s latency).
Not shown: 65534 filtered ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: *redacted*
Too many fingerprints match this host to give specific OS details
Nmap done: 1 IP address (1 host up) scanned in 78.45 seconds
이런 일이 발생하는 커널 설정이 어딘가에 있습니까?
편집: 여기에 요청한 대로 iptables-save출력이 있지만 완전히 비어 있습니다...
# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022
# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022
답변1
쿠반투로 밝혀졌습니다최신 CentOS 버전에서도 동일한 "문제"가 있습니다.을 사용하기 때문에 완전 명확 nftables하지만 iptablesIP 스택을 사용하는 또 다른 방화벽이 있습니다.
이 추가 방화벽을 비활성화하고 iptables만 사용하려는 경우 빠른 해결 방법은 다음과 같습니다.
sudo systemctl disable --now firewalld