我在做一些愚蠢的事情,或者遗漏了什么。有人能发现吗?
我有一个 tplink archer C7 设置为从外部端口转发到我的内部服务器上的端口 22 以进行 ssh。但我仍然在 auth.log 中看到除 22 以外的 sshd 端口的外部源活动。这让我感到困惑,但也许 tplink 没有选择性地进行端口转发。
所以我添加了 ufw 并拒绝了所有访问,然后添加了
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
ufw 正在运行并正确阻止和记录一些内部流量 - 但日志中没有任何内容阻止来自外部的流量。我仍然在 auth.log 中看到据称其他端口的活动。
所以我阻止了 hosts.deny 中的所有 ssh(在这里你也看到了来自 fail2ban 的条目)
sshd: ALL
sshd: 1.234.5.238
sshd: 101.255.158.25
sshd: 103.138.10.78
sshd: 103.147.119.16
sshd: 103.4.119.20
sshd: 104.236.230.184
sshd: 109.132.238.5
sshd: 111.118.140.250
sshd: 111.68.125.106
...
并使用 ipfilter 脚本在 hosts.allow 中进行地理封锁
sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a
在 auth.log 中,我可以看到主机被 ipfilter 拒绝
Dec 20 14:00:11 BobsJob root: DENY sshd connection from 114.44.149.56 (TW)
Dec 20 14:00:11 BobsJob sshd[16088]: Invalid user emmmetje from 114.44.149.56 port 34820
Dec 20 14:00:12 BobsJob sshd[16088]: Received disconnect from 114.44.149.56 port 34820:11: Bye Bye [preauth]
Dec 20 14:00:12 BobsJob sshd[16088]: Disconnected from invalid user emmmetje 114.44.149.56 port 34820 [preauth]
但为什么我什至在 auth.log 中看到关于端口 34820 的任何日志活动?它是如何达到 sshd 拒绝无效用户访问的程度的?它应该被我的路由器阻止失败它应该被 ufw 阻止它最终被 hosts.allow 中的 ipfilter 脚本拒绝,但它甚至不应该走那么远。
是不是 auth.log 中记录的端口不是真实的,即它们在我打开的一个外部端口上,在内部映射到 22?但是为什么日志会报告不同的端口号呢?
我在这里错过了什么?