您尚未登录。

#1 2016-03-02 16:13:01

lijing48301243
会员
注册时间: 2013-04-14
帖子: 126

[已解决]ssh登陆问题

公网ip无法ssh到内网个人主机172.20.7.60
1、内网之间都可以ssh到本机
2、公网ip ssh过来就不行,本机抓包看了一下,tcp握手没建立,本机没有返回ack响应
1 0.000000000 122.225.112.138 -> 172.20.7.60  TCP 62 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
  2 2.851936979 122.225.112.138 -> 172.20.7.60  TCP 62 [TCP Retransmission] 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
  3 8.867871961 122.225.112.138 -> 172.20.7.60  TCP 62 [TCP Retransmission] 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1

这是咋回事?以前我都可以的。sshd升级过后哪里受限了吗?
sshd版本:debug1: sshd version OpenSSH_7.1, OpenSSL 1.0.2e 3 Dec 2015
uname -a: Linux jack60 4.3.3-2-ARCH #1 SMP PREEMPT Wed Dec 23 20:09:18 CET 2015 x86_64 GNU/Linux

最近编辑记录 lijing48301243 (2016-03-03 15:26:06)


archlinux磨合中

离线

#2 2016-03-02 18:33:19

依云
a.k.a. 百合仙子
所在地: 一个等待妹纸出现的地方
注册时间: 2011-08-21
帖子: 4,388
个人网站

Re: [已解决]ssh登陆问题

先看看:

netstat -nplt
ip route
ip address
iptables -vnL
iptables -t nat -vnL

离线

#3 2016-03-03 08:56:53

lijing48301243
会员
注册时间: 2013-04-14
帖子: 126

Re: [已解决]ssh登陆问题

依云 说:

先看看:

netstat -nplt
ip route
ip address
iptables -vnL
iptables -t nat -vnL

1、本机(7.60)一直没有启用iptables,nat映射是在学校防火墙上的,昨天让厂商的人在防火墙上远程看了,没发现异常
2、本机有两个网卡,我在两个网卡上都抓了包,就是没发现ACK确认包,我怀疑是sshd升级后哪里做了ip限制,但是没找到哈:(
netstat
大图链接

最近编辑记录 lijing48301243 (2016-03-03 09:05:15)


archlinux磨合中

离线

#4 2016-03-03 09:41:42

依云
a.k.a. 百合仙子
所在地: 一个等待妹纸出现的地方
注册时间: 2011-08-21
帖子: 4,388
个人网站

Re: [已解决]ssh登陆问题

你的路由器怎么那么多项,看不太明白了……内核可能发现从一个网卡来了个 SYN 包,但是它按路由表要把 SYN+ACK 回复包发到另一个网卡上,所以它就不发了。记得有相关的内核选项的。

离线

#5 2016-03-03 15:24:39

lijing48301243
会员
注册时间: 2013-04-14
帖子: 126

Re: [已解决]ssh登陆问题

依云 说:

你的路由器怎么那么多项,看不太明白了……内核可能发现从一个网卡来了个 SYN 包,但是它按路由表要把 SYN+ACK 回复包发到另一个网卡上,所以它就不发了。记得有相关的内核选项的。

多谢提醒,如你所说,果然是路由表考虑不周。多谢多谢,
PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈


archlinux磨合中

离线

#6 2016-03-03 15:49:03

依云
a.k.a. 百合仙子
所在地: 一个等待妹纸出现的地方
注册时间: 2011-08-21
帖子: 4,388
个人网站

Re: [已解决]ssh登陆问题

lijing48301243 说:

PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈

我好像在哪里看到过能这么搞,细节记不清了。

离线

#7 2016-03-17 10:56:52

lijing48301243
会员
注册时间: 2013-04-14
帖子: 126

Re: [已解决]ssh登陆问题

依云 说:
lijing48301243 说:

PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈

我好像在哪里看到过能这么搞,细节记不清了。

现在回头想想我当初分析的两种思路
第一:以为是ssh ip限制搞的鬼,其实ssh的ip限制是应用层行为,在tcp握手连接之后,所以走错了方向。
第二:虽然我怀疑响应包走了另一块网卡,但对两个网卡抓了包都没有发现,所以很疑惑。
现在我想知道依云你是如何知道内核配置中有这么一项,会把数据包drop。
这个学习路径是如何呢?多上论坛回答问题?上stack overflow找答案?还是多上kernel网站看参数?能否指点一二啊


archlinux磨合中

离线

#8 2016-03-17 11:34:49

依云
a.k.a. 百合仙子
所在地: 一个等待妹纸出现的地方
注册时间: 2011-08-21
帖子: 4,388
个人网站

Re: [已解决]ssh登陆问题

lijing48301243 说:

现在回头想想我当初分析的两种思路
第一:以为是ssh ip限制搞的鬼,其实ssh的ip限制是应用层行为,在tcp握手连接之后,所以走错了方向。
第二:虽然我怀疑响应包走了另一块网卡,但对两个网卡抓了包都没有发现,所以很疑惑。
现在我想知道依云你是如何知道内核配置中有这么一项,会把数据包drop。
这个学习路径是如何呢?多上论坛回答问题?上stack overflow找答案?还是多上kernel网站看参数?能否指点一二啊

有人在博客里提到过这么个东西。我订阅了数百个博客: http://lilydjwg.vim-cn.com/share/lilydjwg-opml.xml

可惜现在提供 RSS 订阅的博客越来越少了,能够方便地评论(不需要任何注册过程,WordPress 式能够分享自己博客的链接)的更少了。
互联网正越来越封闭。

离线

页脚