У меня проблема, когда на моем сервере разрешен sftp, но с сервера я не могу выйти.
Я изменил фильтр пакетов, чтобы разрешить это.
Я добавил следующие правила
SFTP Входящие
Протокол: TCP Порт источника: Любой Порт назначения: 22 Добавить IP-адрес источника: Любой IP-адрес Маска источника: 0.0.0.0 Целевой IP-адрес: Мой IP-адрес Маска назначения: 255.255.255.255
SFTP исходящий
Протокол: TCP Порт источника: 22 Порт назначения: Любой IP-адрес источника Добавить: Мой IP-адрес Маска источника: 255.255.255.255 Целевой IP-адрес: Любой IP-адрес Маска назначения: 0.0.0.0
Я отключил свой ящик cisco, который все равно разрешал порт 22 и TCP.
Я не вижу, что его блокирует, но предполагаю, что это может быть маска назначения или маска источника.
Правила вашего брандмауэра подходят для серверной части. Если проблема в том, что с серверной машины (которую вы будете использовать в качестве клиента для этой цели) вы пытаетесь подключиться к удаленному серверу SFTP (SSH), правила брандмауэра неверны.
Создание исходящего SFTP-соединения не означает, что исходный порт будет 22 (на самом деле, это очень маловероятно, тем более, если на этом порту уже работает сервер). Порт назначения также будет 22, но исходный порт будет чем-то обычно случайным (или не слишком случайным, но в другом диапазоне, неиспользуемым портами сервера в целом, скажем,> 10000). Для исходящих соединений ваше первое правило по-прежнему будет применяться, но для него потребуется другая маска назначения.
Проблема в том, что если вы разрешите что-то вроде этого:
Protocol: TCP
Source Port: Any
Destination Port: 22
Source IP Add: Any
Ip Address Source Mask: 0.0.0.0
Desination IP Address: My IP Address
Destination Mask: 0.0.0.0
Вы открываете все свои порты для всех, кто может настроить своего клиента так, чтобы он работал через порт 22, что нехорошо. Что вам нужно, так это разрешить только новые и установленные входящие подключения к порту 22.
Если честно, я не уверен, как это работает в Windows, но вот что NEW, ESTABLISHED и RELATED для в iptables в Linux.
Если вы имеете в виду, что для исходящего трафика сервер действует как клиент, то ваше исходящее правило неверно, как заявил Бруно в своем ответе. Действуя в качестве клиента, сервер будет использовать на своем конце эфемерный порт и подключаться к удаленному серверу через порт 22 удаленного сервера. Если это именно то, что вы имели в виду, вам необходимо поменять местами порты источника и назначения в исходящем правиле. Источником должен быть любой порт, а местом назначения должен быть порт 22.