Ao editar algumas regras de firewall em uma máquina que possui um cliente OpenVPN em execução, tentei determinar sua porta remota, como costumo fazer, usando ss
.
# ss -anup | grep openvpn
UNCONN6528 0 0.0.0.0:52012 0.0.0.0:* users:(("openvpn",pid=333,fd=3))
Ele veio vazio.
Na configuração, posso ver que o cliente deve estar conectado ao 10.0.0.5:389
UDP. Eu verifiquei isso em /proc
:
# cat /proc/net/nf_conntrack | grep udp | grep 389
ipv4 2 udp 17 175 src=10.0.7.8 dst=10.0.0.5 sport=52012 dport=389 src=10.0.0.5 dst=10.0.7.8 sport=389 dport=52012 [ASSURED] mark=0 zone=0 use=2
Ambos os comandos foram executados em rápida sucessão após fazer uma conexão de saída e verificar se estava funcionando, curl ipinfo.io
retornando o resultado esperado.
Tentei uma conexão UDP normal com netcat ( nc -l -u 12345
no servidor e nc -u 10.0.0.5 12345
no cliente) para ver a saída ss
no cliente:
# ss -anup | grep nc
ESTAB 0 0 10.0.7.8:52051 10.0.0.5:12345 users:(("nc",pid=2002,fd=3))
Por que a ss
saída para OpenVPN está no UNCONN
estado e não no ESTAB
estado esperado, como no caso netcat simples?
Meio Ambiente:
# uname -a
Linux tank 4.16.3-1-ARCH #1 SMP PREEMPT Thu Apr 19 09:17:56 UTC 2018 x86_64 GNU/Linux
# pacman -Qo /usr/bin/ss
/usr/bin/ss is owned by iproute2 4.16.0-1