我做了一些愚蠢的事情,或者遗漏了一些东西。有人能发现吗?
我有一台 tplink archer C7,设置为从外部端口转发到内部服务器上的 ssh 端口 22。但我仍然在 auth.log 中看到 sshd 端口(除 22 端口外)的外部源活动。这让我很困惑,但也许 tplink 不是有选择地进行端口转发。
因此我添加了 ufw 并拒绝所有访问,然后添加
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
ufw 正在运行,并正确阻止和记录一些内部流量 - 但日志中没有任何内容阻止来自外部的流量。我仍然在 auth.log 中看到据称针对其他端口的活动。
所以我在 hosts.deny 中阻止了所有 ssh(在这里您还可以看到来自 fail2ban 的条目)
sshd: ALL
sshd: 1.234.5.238
sshd: 101.255.158.25
sshd: 103.138.10.78
sshd: 103.147.119.16
sshd: 103.4.119.20
sshd: 104.236.230.184
sshd: 109.132.238.5
sshd: 111.118.140.250
sshd: 111.68.125.106
...
并使用 ipfilter 脚本在 hosts.allow 中进行地理封锁
sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a
在 auth.log 中我可以看到主机被 ipfilter 拒绝
Dec 20 14:00:11 BobsJob root: DENY sshd connection from 114.44.149.56 (TW)
Dec 20 14:00:11 BobsJob sshd[16088]: Invalid user emmmetje from 114.44.149.56 port 34820
Dec 20 14:00:12 BobsJob sshd[16088]: Received disconnect from 114.44.149.56 port 34820:11: Bye Bye [preauth]
Dec 20 14:00:12 BobsJob sshd[16088]: Disconnected from invalid user emmmetje 114.44.149.56 port 34820 [preauth]
但是为什么我在 auth.log 中看到有关端口 34820 的任何日志活动?为什么 sshd 会拒绝无效用户的访问?它应该被我的路由器阻止。如果失败,它应该被 ufw 阻止。它最终被 hosts.allow 中的 ipfilter 脚本拒绝,但它甚至不应该走那么远。
是不是因为 auth.log 中记录的端口不是真实的,即它们位于我打开的一个外部端口上,而该端口在内部映射到 22?但为什么日志会报告不同的端口号?
我在这里遗漏了什么?
答案1
一个唯一的TCP会话可以用四个参数来描述,源IP,目标IP源端口和目标端口。
在你的情况下,目标 IP 是你的本地 IP,目标端口是 22。日志中显示的参数是源 IP 和源端口。意味着“某人”试图从源 IP 和源端口访问你的 ssh114.44.149.56服务器34820。