Início / server / Perguntas / 1032405
Accepted
JeremyCanfield
Asked: 2020-09-03 03:33:34 +0800 CST

firewalld fazendo com que o nmap retorne o host parece inativo

  • 772

Eu tenho duas máquinas, server1 e server2. No server2, eu paro o firewalld.

[root@server2 ~]# systemctl stop firewalld

Do server1, nmap retorna Host is up.

[root@server1 ~]$ nmap -sn server2

Starting Nmap 6.40 ( http://nmap.org ) at 2020-09-02 11:27 CDT
Nmap scan report for server2 (10.17.45.13)
Host is up (0.00045s latency).
Nmap done: 1 IP address (1 host up) scanned in 0.01 seconds

Eu habilito o firewalld no server2.

[root@server2 ~]# systemctl start firewalld

Do server1, o nmap retorna Host seems down, portanto, algo com firewalld no server2 está fazendo com que o nmap retorne o Host parece inativo.

[root@server1 ~]$ nmap -sn server2

Starting Nmap 6.40 ( http://nmap.org ) at 2020-09-02 11:29 CDT
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.01 seconds

Do server1, ping/echo/ICMP funciona.

[root@server1 ~]$ ping -c4 server2
PING server2 (10.17.45.13) 56(84) bytes of data.
64 bytes from server2 (10.17.45.13): icmp_seq=1 ttl=64 time=0.436 ms
64 bytes from server2 (10.17.45.13): icmp_seq=2 ttl=64 time=0.388 ms
64 bytes from server2 (10.17.45.13): icmp_seq=3 ttl=64 time=0.338 ms
64 bytes from server2 (10.17.45.13): icmp_seq=4 ttl=64 time=0.390 ms

--- server2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.338/0.388/0.436/0.034 ms

Aqui estão as configurações de firewalld para as zonas publice dropno server2. icmp-block está vazio, o que significa que nenhum tipo de ICMP está sendo bloqueado e icmp-block-inversion está definido nopara permitir todo o tráfego IMCP.

[root@server2 ~]# firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno16777984
  sources:
  services: ssh dhcpv6-client
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[root@server2 ~]# firewall-cmd --zone=drop --list-all
drop
  target: DROP
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

/var/log/firewalldnão está registrando nada para quando o nmap retornar Host seems down.

ping icmp firewalld nmap

1 respostas

  1. Best Answer

    Não conheço o firewallcmd, mas toda a filtragem no Linux é feita pelo iptables. Portanto, firewallcmd (como ufw e outros) é um front-end para iptables.

    Você sempre pode verificar as regras ativas no kernel pelo comando : iptables -L -nv, mesmo que você desabilite completamente o serviço iptables (já que o firewall é gerenciado pelo firewallcmd). Se você não desabilitar o serviço iptables (ou netfilter-persistent no Debian), você pode ter uma colisão entre dois gerenciadores.

    • 1

relate perguntas