- 首页
- » 网络相关
- » [已解决]ssh登陆问题
页次: 1
#1 2016-03-02 16:13:01
- lijing48301243
- 会员
- 注册时间: 2013-04-14
- 帖子: 137
[已解决]ssh登陆问题
公网ip无法ssh到内网个人主机172.20.7.60
1、内网之间都可以ssh到本机
2、公网ip ssh过来就不行,本机抓包看了一下,tcp握手没建立,本机没有返回ack响应
1 0.000000000 122.225.112.138 -> 172.20.7.60 TCP 62 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
2 2.851936979 122.225.112.138 -> 172.20.7.60 TCP 62 [TCP Retransmission] 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
3 8.867871961 122.225.112.138 -> 172.20.7.60 TCP 62 [TCP Retransmission] 28494 → 22 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
这是咋回事?以前我都可以的。sshd升级过后哪里受限了吗?
sshd版本:debug1: sshd version OpenSSH_7.1, OpenSSL 1.0.2e 3 Dec 2015
uname -a: Linux jack60 4.3.3-2-ARCH #1 SMP PREEMPT Wed Dec 23 20:09:18 CET 2015 x86_64 GNU/Linux
最近编辑记录 lijing48301243 (2016-03-03 15:26:06)
archlinux磨合中
离线
#2 2016-03-02 18:33:19
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: [已解决]ssh登陆问题
先看看:
netstat -nplt
ip route
ip address
iptables -vnL
iptables -t nat -vnL离线
#3 2016-03-03 08:56:53
- lijing48301243
- 会员
- 注册时间: 2013-04-14
- 帖子: 137
Re: [已解决]ssh登陆问题
先看看:
netstat -nplt ip route ip address iptables -vnL iptables -t nat -vnL
1、本机(7.60)一直没有启用iptables,nat映射是在学校防火墙上的,昨天让厂商的人在防火墙上远程看了,没发现异常
2、本机有两个网卡,我在两个网卡上都抓了包,就是没发现ACK确认包,我怀疑是sshd升级后哪里做了ip限制,但是没找到哈:(
大图链接
最近编辑记录 lijing48301243 (2016-03-03 09:05:15)
archlinux磨合中
离线
#4 2016-03-03 09:41:42
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: [已解决]ssh登陆问题
你的路由器怎么那么多项,看不太明白了……内核可能发现从一个网卡来了个 SYN 包,但是它按路由表要把 SYN+ACK 回复包发到另一个网卡上,所以它就不发了。记得有相关的内核选项的。
离线
#5 2016-03-03 15:24:39
- lijing48301243
- 会员
- 注册时间: 2013-04-14
- 帖子: 137
Re: [已解决]ssh登陆问题
你的路由器怎么那么多项,看不太明白了……内核可能发现从一个网卡来了个 SYN 包,但是它按路由表要把 SYN+ACK 回复包发到另一个网卡上,所以它就不发了。记得有相关的内核选项的。
多谢提醒,如你所说,果然是路由表考虑不周。多谢多谢,
PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈
archlinux磨合中
离线
#6 2016-03-03 15:49:03
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: [已解决]ssh登陆问题
PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈
我好像在哪里看到过能这么搞,细节记不清了。
离线
#7 2016-03-17 10:56:52
- lijing48301243
- 会员
- 注册时间: 2013-04-14
- 帖子: 137
Re: [已解决]ssh登陆问题
lijing48301243 说:PS:你说通过内核配置也可以让回复包通过另一个网卡发送吗?有空我试验下,哈哈
我好像在哪里看到过能这么搞,细节记不清了。
现在回头想想我当初分析的两种思路
第一:以为是ssh ip限制搞的鬼,其实ssh的ip限制是应用层行为,在tcp握手连接之后,所以走错了方向。
第二:虽然我怀疑响应包走了另一块网卡,但对两个网卡抓了包都没有发现,所以很疑惑。
现在我想知道依云你是如何知道内核配置中有这么一项,会把数据包drop。
这个学习路径是如何呢?多上论坛回答问题?上stack overflow找答案?还是多上kernel网站看参数?能否指点一二啊
archlinux磨合中
离线
#8 2016-03-17 11:34:49
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: [已解决]ssh登陆问题
现在回头想想我当初分析的两种思路
第一:以为是ssh ip限制搞的鬼,其实ssh的ip限制是应用层行为,在tcp握手连接之后,所以走错了方向。
第二:虽然我怀疑响应包走了另一块网卡,但对两个网卡抓了包都没有发现,所以很疑惑。
现在我想知道依云你是如何知道内核配置中有这么一项,会把数据包drop。
这个学习路径是如何呢?多上论坛回答问题?上stack overflow找答案?还是多上kernel网站看参数?能否指点一二啊
有人在博客里提到过这么个东西。我订阅了数百个博客: http://lilydjwg.vim-cn.com/share/lilydjwg-opml.xml
可惜现在提供 RSS 订阅的博客越来越少了,能够方便地评论(不需要任何注册过程,WordPress 式能够分享自己博客的链接)的更少了。
互联网正越来越封闭。
离线
页次: 1
- 首页
- » 网络相关
- » [已解决]ssh登陆问题