Я пытаюсь создать SFTP-соединение с удаленным веб-сервером CentOS v6.8. Когда я подключаюсь через SFTP из моей офисной сети, я могу подключиться без каких-либо проблем, но когда я пытаюсь подключиться из другого места (например, мой телефон или клиентский ПК / сеть), SFTP не работает. Можно установить FTP-соединение с той же учетной записью.
То, что я пробовал до сих пор: я проверил Iptables. У них не было никакой конфигурации, но я добавил несколько строк в соответствии с некоторыми из руководств, которые я использовал при создании пользователя и соединения sftp. руководство iptables:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW !recent: CHECK seconds: 60 hit_count: 4 name: ssh side: source
tcp -- anywhere anywhere tcp dpt:ssh state NEW recent: SET name: ssh side: source
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
В белых / черных списках я не могу найти ничего, что блокирует или разрешает IP-адреса. Хостинговая компания не помогает, поскольку это неуправляемый сервер, и мы предпочли бы решить эту проблему без взимания с нас платы.
Можно ли где-нибудь проверить или отредактировать, чтобы решить эту проблему?
Примечание: я Backend Developer, мои знания о сервере / Linux ограничены, и у меня есть root-доступ по SSH.
[EDIT 1] работает tcpdump 'tcp[13] & 2 != 0'
Это успешное соединение:
11:39:12.005721 IP static.kpn.net.51636 > WCMZ005.local.ssh: Flags [S], seq 2112850653, win 65535, options [mss 1380,nop,wscale 7,nop,nop,sackOK], length 0
11:39:12.005764 IP WCMZ005.local.ssh > static.kpn.net.51636: Flags [S.], seq 3218812204, ack 2112850654, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
Это соединение с моего телефона. Через некоторое время мой телефон выдает ошибку тайм-аута
11:37:28.890146 IP 183.214.141.102.11306 > 172.16.3.85.ssh: Flags [S], seq 2750343693, win 14600, options [mss 1380,sackOK,TS val 690507696 ecr 0,nop,wscale 7], length 0
11:37:28.890190 IP 172.16.3.85.ssh > 183.214.141.102.11306: Flags [S.], seq 381070382, ack 2750343694, win 14480, options [mss 1460,sackOK,TS val 955131997 ecr 690507696,nop,wscale 7], length 0
11:37:33.818772 IP scanner2.labs.rapid7.com.https > 172.16.3.212.https: Flags [S], seq 2904545780, win 65535, length 0
11:37:43.506259 IP 216.243.31.2.41000 > 172.16.3.71.http: Flags [S], seq 1532676084, win 65535, length 0
11:37:53.275212 IP 183.214.141.102.sec-pc2fax-srv > 172.16.3.85.ssh: Flags [S], seq 579659209, win 14600, options [mss 1380,sackOK,TS val 690532061 ecr 0,nop,wscale 7], length 0
11:37:53.275254 IP 172.16.3.85.ssh > 183.214.141.102.sec-pc2fax-srv: Flags [S.], seq 83614273, ack 579659210, win 14480, options [mss 1460,sackOK,TS val 955156383 ecr 690532061,nop,wscale 7], length 0
11:38:14.619947 IP 183.214.141.102.63060 > 172.16.3.85.ssh: Flags [S], seq 2648927808, win 14600, options [mss 1380,sackOK,TS val 690553404 ecr 0,nop,wscale 7], length 0
11:38:14.619988 IP 172.16.3.85.ssh > 183.214.141.102.63060: Flags [S.], seq 4153938295, ack 2648927809, win 14480, options [mss 1460,sackOK,TS val 955177727 ecr 690553404,nop,wscale 7], length 0
Ты сказал :
Я могу подключиться без каких-либо проблем, но когда я пробую его из другого места (например, с моего телефона или клиента), SFTP не работает. Можно установить FTP-соединение с той же учетной записью.
Возможно, ваш FTP-трафик имеет NAT и не ваш трафик SFTP? Можете ли вы проверить на своем маршрутизаторе, правильно ли подключены порты вашего сервера к внешней стороне?
Можете ли вы присоединиться к журналам сбоя соединения SFTP?
Опубликованные вами правила iptables не включают DROP или REJECT. Даже политика по умолчанию для INPUT цепь ACCEPT. Это означает, что ваш сервер принимает все типы трафика.
Поскольку вы можете подключиться хотя бы из одного места, это означает, что служба работает правильно и сервер доступен. Вам необходимо проверить места, по которым нет доступа к запрошенной услуге.
Мой совет - бежать tcpdump на вашем сервере при попытке подключения. Если вы не видели приходящего пакета TCP SYN, возможно, IP или порт заблокированы где-то на пути к серверу.