Порт фильтруется после переадресации порта
Я пытаюсь настроить простой SSH-сервер, но порт по-прежнему фильтруется даже после перенаправления порта. (Я настроил SSH для использования порта 1338 вместо 22 по умолчанию.)
Мы видим, что порт фильтруется, запустив сканирование Nmap на локальном IP (где порт открыт), а затем на внешнем IP.
Запуск nmap на локальном IP:
$ nmap -p 1338 -Pn 192.168.1.144
Starting Nmap 7.70 ( https://nmap.org ) at 2019-12-17 16:34 CET
Nmap scan report for 192.168.1.144
Host is up (0.0030s latency).
PORT STATE SERVICE
1338/tcp open wmc-log-svc
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
Запуск Nmap на внешнем IP:
$ nmap -p 1338 -Pn <server's external IP>
Starting Nmap 7.70 ( https://nmap.org ) at 2019-12-17 16:34 CET
Nmap scan report for <external-IP>.<ISP-info> (<external IP>)
Host is up.
PORT STATE SERVICE
1338/tcp filtered wmc-log-svc
Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds
Настройки переадресации портов (это маршрутизатор ASUS RT-N12D1, если это необходимо):
Что могло вызвать это? Похоже, что брандмауэр останавливает связь, но у меня нет настроенного брандмауэра. Я недавно переехал и взял на себя интернет-сервис предыдущего арендатора, может быть, между моим маршрутизатором и интернетом есть брандмауэр?
редактировать
Этот пользователь говорит о Linux, фильтрующем входящие соединения. На моем сервере выполняется новая установка Ubuntu 16.04, и, насколько мне известно, Ubuntu не поставляется с предварительно настроенным брандмауэром.
редактировать
Я зарегистрировал трафик с помощью tcpdump и я могу подтвердить, что трафик не блокируется самим сервером (т.е. трафик фильтруется либо маршрутизатором, либо чем-то более ранним в цепочке).
Вы можете столкнуться с многочисленными проблемами, если сканируете общедоступный IP-адрес, который перенаправляется на машину, с которой вы сканируете. Могут возникнуть многочисленные проблемы с маршрутизацией и преобразованием сетевых адресов. Для начала я бы порекомендовал вам сканировать IP-адрес и порт с машины за пределами вашего брандмауэра и отслеживать трафик на целевой машине. Это должно помочь вам, по крайней мере, определить, проходит ли пакет через ваш маршрутизатор / брандмауэр. Также иногда интернет-провайдеры будут блокировать порты, если они связаны с плохим трафиком, таким как вирусы и бот-сети, поэтому вы можете протестировать пару портов. Я видел, как порты заблокированы не один раз.
Оказывается, мой интернет-провайдер использовал NAT операторского класса, что по сути означает, что у меня есть частный IP-адрес. Решением было позвонить им и попросить публичный IP-адрес.
В маршрутизаторе Asus вам нужно перейти в «Администрирование», а затем в «Система» внизу включить доступ по ssh, выбрав IP-адрес вашего сервера (IP-адрес назначения).