我在做一些愚蠢的事情,或者遗漏了什么。有人能发现吗?
我有一个 tplink archer C7 设置为从外部端口转发到我的内部服务器上的端口 22 以进行 ssh。但我仍然在 auth.log 中看到除 22 以外的 sshd 端口的外部源活动。这让我感到困惑,但也许 tplink 没有选择性地进行端口转发。
所以我添加了 ufw 并拒绝了所有访问,然后添加了
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
ufw 正在运行并正确阻止和记录一些内部流量 - 但日志中没有任何内容阻止来自外部的流量。我仍然在 auth.log 中看到据称其他端口的活动。
所以我阻止了 hosts.deny 中的所有 ssh(在这里你也看到了来自 fail2ban 的条目)
sshd: ALL
sshd: 1.234.5.238
sshd: 101.255.158.25
sshd: 103.138.10.78
sshd: 103.147.119.16
sshd: 103.4.119.20
sshd: 104.236.230.184
sshd: 109.132.238.5
sshd: 111.118.140.250
sshd: 111.68.125.106
...
并使用 ipfilter 脚本在 hosts.allow 中进行地理封锁
sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a
在 auth.log 中,我可以看到主机被 ipfilter 拒绝
Dec 20 14:00:11 BobsJob root: DENY sshd connection from 114.44.149.56 (TW)
Dec 20 14:00:11 BobsJob sshd[16088]: Invalid user emmmetje from 114.44.149.56 port 34820
Dec 20 14:00:12 BobsJob sshd[16088]: Received disconnect from 114.44.149.56 port 34820:11: Bye Bye [preauth]
Dec 20 14:00:12 BobsJob sshd[16088]: Disconnected from invalid user emmmetje 114.44.149.56 port 34820 [preauth]
但为什么我什至在 auth.log 中看到关于端口 34820 的任何日志活动?它是如何达到 sshd 拒绝无效用户访问的程度的?它应该被我的路由器阻止失败它应该被 ufw 阻止它最终被 hosts.allow 中的 ipfilter 脚本拒绝,但它甚至不应该走那么远。
是不是 auth.log 中记录的端口不是真实的,即它们在我打开的一个外部端口上,在内部映射到 22?但是为什么日志会报告不同的端口号呢?
我在这里错过了什么?
一个唯一的 TCP 会话可以用四个参数来描述,源 IP、目的 IP 源端口和目的端口。
在您的情况下,目标 IP 是您的本地 IP,目标端口 22。日志中显示的参数是源 IP 和源端口。表示“某人”试图从源 IP
114.44.149.56和源端口访问您的 ssh 服务器34820。