主页 / server / 问题 / 650227
Accepted
Miloš Đakonović
Asked: 2014-12-10 03:59:03 +0800 CST

ssh 密钥身份验证 - 涉及 22 以外的端口

  • 772

我已经注意到这个条目auth.log

ip_address从端口 51150 ssh2接受 myuser 的公钥

该条目对应于我的基于 ssh-key 的登录事件。SSH 正在侦听默认端口 - 22。

记录端口 51150 的作用是什么,这是否意味着我不能使用限制性 iptables 设置来阻止所有流量传入我之前指定的端口以外的端口(如 20、21、25、80、443、143 ...)

ssh

1 个回答

  1. Best Answer

    显示的端口号是临时客户端端口号,对应于SSH 服务器看到的源端口。服务器端,所有ssh 连接都到端口 22。

    这是我进入我的彩色服务器,并确认相关文件ssh中列出的端口:syslog

    odessa% ssh www.teaparty.net
[...]
[me@lory ~]$ tail -2 /var/log/facility/authpriv 
Dec  9 12:36:26 lory sshd[16793]: Accepted publickey for me from 78.46.204.154 port 58212 ssh2
Dec  9 12:36:27 lory sshd[16793]: pam_unix(sshd:session): session opened for user me by (uid=0)

    这是显示连接的客户端的输出:

    odessa% netstat -an|grep 22|grep 58212
tcp        0      0 78.46.204.154:58212         178.18.123.145:22           ESTABLISHED

    如您所见,服务器端的端口号是 22,正如预期的那样。客户端端口号是58212。 Miloshio,因为大多数iptables允许访问服务的规则看起来像

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    它们不受客户端之间源端口号变化的影响,因为它们只关心目标端口号。仅当您要编写类似的规则时

    iptables -A INPUT -p tcp --dport 22 --sport 58212 -j ACCEPT

    是否需要为每个新客户进行更改-这就是为什么您必须发疯才能这样做,而没有人这样做。

    • 3

相关问题