Попытка подключения по ssh: connection timeout.

0

1

Добрый день уважаемые пользователи форума. Вчера столкнулся со следующей проблемой. Необходимо удалённо подключиться к серверу по ssh, у моего коллеги всё работает, мне выдаёт connection timeout, в логах моей попытки войти нет. Демон работает, так же висит fail2ban, но он меня не банил. Аутентификация на сервере производится по паролю, порт стандартный: 22. Пытаюсь траблшутить уже 2 сутки-безрезультатно, в iptables проблем не нашёл. Вот выдача iptables -save. Заранее спасибо.


*mangle
:PREROUTING ACCEPT [19054217937:5419981294583]
:INPUT ACCEPT [19054217853:5419981288521]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18976440645:5412670462340]
:POSTROUTING ACCEPT [18976492207:5412680706625]
COMMIT

*filter
:INPUT DROP [8275849:428392224]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-SSH - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 148 -m recent --set --                                                                                                             name pk --rsource -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 149 -m recent --update                                                                                                              --hitcount 1 --name pk --rsource -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 150 -m recent --update                                                                                                              --hitcount 2 --name pk --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8181 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5902 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4422 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --hitcount 3 --name pk --rs                                                                                                             ource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 222 -m recent --rcheck --hitcount 3 --name pk --r                                                                                                             source -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 35800 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1521 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 38080 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 48080 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 38443 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 48443 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8180 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -m recent --rcheck --hitcount 3 --name pk --rs                                                                                                             ource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2812 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5904 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4022 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8338 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 38090 -m recent --rcheck --hitcount 3 --name pk -                                                                                                             -rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8090 -m recent --rcheck --hitcount 3 --name pk --                                                                                                             rsource -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 151 -m recent --remove                                                                                                              --name pk --rsource -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -d 154.240.188.65/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 10050 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 10051 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 154.240.188.65/32 -i lo -j ACCEPT
-A INPUT -d 224.0.0.0/8 -i eth1 -j DROP
-A INPUT -m limit --limit 30/min --limit-burst 30 -j LOG --log-prefix "IPT INPUT                                                                                                              packet died: " --log-level 7
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 30/min --limit-burst 30 -j LOG --log-prefix "IPT FOR                                                                                                             WARD packet died: " --log-level 7
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 154.240.188.65/32 -j ACCEPT
-A OUTPUT -m limit --limit 30/min --limit-burst 30 -j LOG --log-prefix "IPT OUTP                                                                                                             UT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NE                                                                                                             W -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --st                                                                                                             ate NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --st                                                                                                             ate NEW -j DROP
-A fail2ban-SSH -j RETURN
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j REJECT --reject-with icmp-host-unreachable
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 222 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 4422 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 10000 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 35800 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 48080 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 38080 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 1521 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 1158 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8080 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8338 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 38443 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 48443 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8580 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8542 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8543 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8181 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 5901 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 5931 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 4022 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8180 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 2812 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8338 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 38090 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 8090 -j allowed
-A tcp_packets -s 150.170.66.224/32 -p tcp -m tcp --dport 9992 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 4422 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 1521 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 8080 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 38080 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 48080 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 8181 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 8180 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 8338 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 38090 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 8090 -j allowed
-A tcp_packets -s 200.92.34.98/32 -p tcp -m tcp --dport 9992 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 222 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 4422 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 10000 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 35800 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 1521 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 1158 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 8080 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 38080 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 48080 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 38443 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 48443 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 8181 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 5901 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 5931 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 4022 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 8180 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 2812 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 8338 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 38090 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 8090 -j allowed
-A tcp_packets -s 130.66.84.42/32 -p tcp -m tcp --dport 9992 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -s 56.24.33.78/32 -p tcp -m tcp --dport 38080 -j allowed
-A tcp_packets -p tcp -m tcp --dport 38443 -j allowed
-A tcp_packets -s 90.102.190.35/32 -p tcp -m tcp --dport 48443 -j allowed
-A tcp_packets -s 80.45.145.90/32 -p tcp -m tcp --dport 48443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 48443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 35800 -j allowed
COMMIT

*nat
:PREROUTING ACCEPT [16853004:854147660]
:POSTROUTING ACCEPT [84788048:5689648140]
:OUTPUT ACCEPT [84788048:5689648140]
COMMIT

Ссылка

←	Ответ (bounce) postfix на отсутствие пользователя в БД

pptpd ipv6 и клиенты на android

→

iptables у тебя или на сервере?

Попробуй временно отключить fail2ban и посмотреть, что будет.

И какая конфигурация сети? Какой ip у тебя и у ssh-сервера? В твоих логах куча разных непонятных ip. Настроена ли у тебя маршрутизация между подсетями? Пингуется ли сервер?

aureliano15 ★★
(10.02.21 22:20:57 MSK)

Ответ на: комментарий от aureliano15 10.02.21 22:20:57 MSK

Спасибо за ответ. Iptables на сервере, данный вывод скинул коллега, у которого доступ есть, мой брандмауэр стандартной конфигурации. Fail2Ban отключал, не помогло. Даже правило соответствующее удалял, всё равно сервер пингуется, даже 22 порт пингуется, но не пускает. Конфигурацию сети не знаю, на серваке вертится какое-то приложение, это дедик у провайдера, прошлый админ на связь не выходит, коллеги в линуксе и сетях вообще не разбираются, мой уровень тоже оставляет желать лучшего. Касательно подсетей и прочего. Скажите, каким способом лучше исследовать внутреннее устройство сети, с учётом того, что передо мной серый ящик? Сервер пингуется, даже 22 порт пингуется, но дальше пинга дело не идёт.

Jack_on_the_wall
(12.02.21 20:32:27 MSK) автор топика

Ответ на: комментарий от Jack_on_the_wall 12.02.21 20:32:27 MSK

Если сервер пингуется, то сеть настроена нормально. Возможно, файрвол блокирует соединение на вашей стороне? Это может быть ваш комп или ваш роутер. Я бы проверил. Также уточнил бы, точно ли ssh висит на 22 порте. И не требует ли он для аутентификации ключ вместо пароля? В теории можно было бы ещё предположить, что соединение блокирует провайдер, но на мой взгляд это практически невероятно. В случае неверного логина или пароля тоже по идее ничего не должно зависать, а должно быть или предложение повторно ввести пароль, или отказ. На всякий случай дайте свой внешний ip’шник (если вы подключаетесь через Интернет, и айпишник постоянный), узнать который можно, например, на https://2ip.ru/ , и ip сервера, к которому подключаетесь. Его ip вы должны знать, чтобы подключиться. А если подключаетесь по имени, то узнайте его командой whois имя_сервера в Linux или с помощью интернет-службы whois из любой системы, например https://whois.ru/ . Это нужно, чтоб проверить, разрешён ли ваш адрес на файрволе. Но первым делом выясните то, о чём я говорил выше.

даже 22 порт пингуется

Как порт может пинговаться?

данный вывод скинул коллега [skip] коллеги в линуксе и сетях вообще не разбираются

Коллега, скинувший вывод, как минимум немного должен разбираться. Можно попробовать обратиться за помощью также к нему.

aureliano15 ★★
(13.02.21 04:38:11 MSK)
Последнее исправление: aureliano15 13.02.21 04:39:16 MSK (всего исправлений: 1)

Ссылка

Если конектиш через путина посмотри в настройках. протокол и сдвинь его верх. В Инете есть как сделать.

~~Bootmen~~ ☆☆☆
(13.02.21 06:26:03 MSK)

Ссылка

1. Коллега идет на сервер и запускает tcpdump port 22
2. Ты пытаешься подключиться к серверу, ждешь своего тайм-аута
3. Вы останавливаете tcpdump на сервере и смотрите, были ли попытки подключения, с какого ip?

Если попытки подключения видны - сделайте еще пару итераций, чтобы убедиться, что это именно твои попытки и именно таким виден src ip в подключении от тебя к сервер по ssh, дальше дебажите на сервере.

Если попыток подключения в логе tcpdump не видно, то необходимо проверить все файрволлы от твоей машины до сервера, исключая сервер (потому что мы его уже исключили тестом выше). Уточняю: у тебя на машине, у тебя на роутере, в настройках в «личном кабинете» твоего интернет-провайдера, затем - в «личном кабинете» хостинг-провайдера, который предоставляет сервер (фарволл, IDS, и прочее).

Если не получается - выход есть: подключаться через jumphost через какую-нибудь третью тачку, которая доступна как для тебя, так и для сервера, как-то так:
ssh -J jumphostuser@jumphost user@inaccessiblehost
Но лучше было бы, конечно, разобраться, где у вас затык, а не подпирать проблему костылями

slowpony ★★★★★
(13.02.21 06:41:35 MSK)
Последнее исправление: slowpony 13.02.21 06:42:41 MSK (всего исправлений: 1)

Ответ на: комментарий от slowpony 13.02.21 06:41:35 MSK

Смешно. пускай сотрет на сервере ключи. Все ./ssh к енебатой матери...

~~Bootmen~~ ☆☆☆
(13.02.21 06:53:57 MSK)
Последнее исправление: Bootmen 13.02.21 07:01:34 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от slowpony 13.02.21 06:41:35 MSK

Запустил tcptump, трафик с моего ip идёт, но происходит повторная передача пакетов, в wireshark строка красным выделена-bad tcp error. То есть мой пк повторно отправляет пакеты, не дождавшись ответа. Куда копать? Проблема может быть в iptables output? Свой iptbables проверял-стандартный, проблем быть не должно. Но вот в правилах на серваке помойка, куча фильтраций диапазонов ip по маске не output. Провайдера и роутер исключаю, потому что пробовал подключаться с разных машин, расположенных в разных регионах и странах, пробовал прокси и vpn, ничего не помогает.

Jack_on_the_wall
(13.02.21 21:58:47 MSK) автор топика

Ответ на: комментарий от Jack_on_the_wall 13.02.21 21:58:47 MSK

Запустил tcptump, трафик с моего ip идёт

На сервере запустил, надеюсь?

slowpony ★★★★★
(14.02.21 04:00:00 MSK)

Ответ на: комментарий от slowpony 14.02.21 04:00:00 MSK

Конечно на сервере, я не настолько профан) Изучаю output iptables на сервере, чтобы понять почему трафик не идёт оттуда ко мне и не могу понять следующие строчки:

-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NE                                                                                                             W -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --st                                                                                                             ate NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --st                                                                                                             ate NEW -j DROP

Тут и дропы есть и bad_tcp_packets, я так понял в первой строчке вообще всё дропается, а в остальных что-то вроде обработки исключений по плохим пакетам? Спасибо за помощь, в любом случае.

Jack_on_the_wall
(14.02.21 06:43:35 MSK) автор топика

Ответ на: комментарий от Jack_on_the_wall 14.02.21 06:43:35 MSK

если убунта то почему не используешь ufw? там все нагляднее.наверно надо посмотреть логи ssh если они есть.

jura12 ★
(14.02.21 08:50:45 MSK)

Ответ на: комментарий от jura12 14.02.21 08:50:45 MSK

В логах SSH нет попыток подключения с моей стороны. UFW не использую потому что сервер не мой, сам не знаю как там сеть устроена и что самое смешное никто не знает. Вот эта куча ip-шников в iptables-понятия не имею зачем они нужны, особенно, что касается фильтрации целых диапазонов. Ну и настраивать сеть я только учусь, не всё знаю.

Jack_on_the_wall
(14.02.21 09:09:37 MSK) автор топика

Ссылка

Ответ на: комментарий от Jack_on_the_wall 14.02.21 06:43:35 MSK

Окей, мы выяснили, что пакеты приходят на сервер, но отбрасываются им. Посмотри, кстати, еще в /etc/hosts.allow и /etc/hosts.deny, нет ли там какой-то дополнительной фильтрации? Если нет - основной подозреваемый - iptables. Делай

iptables-save > ~/iptables-rules.orig

В ~/iptables-rules.orig у тебя теперь лежит бекап оригинального набора правил. Делай его копию, редактируй _копию_ по вкусу и загружай обратно:

iptables-restore < ~/iptables-rules.copy

Чтобы не обосраться слишком сильно, добавь в крон задание на ресет правил из оригинального бекапа, скажем, каждые 30 минут:

*/30 * * * * root /usr/sbin/iptables-restore < /root/iptables-rules.orig

Убедись, что задание crontab работает.

Таким образом, если ты напортачишь с правилами, то сервер вернется в бой через ~30 минут после внесения косячной правки.

Первое, что я бы проверил - перевел бы политики по-умолчанию в ACCEPT и сбросил все правила. Стало пускать? Значит дело в правилах iptables. Возвращай как было, иначе запустишь злых какеров, и начинай исследовать правила.

slowpony ★★★★★
(14.02.21 10:08:53 MSK)

Ответ на: комментарий от slowpony 14.02.21 10:08:53 MSK

Огромное спасибо за подробную инструкцию, в hosts.allow и .deny-пусто. Сегодня сделаю, отпишусь как всё прошло. Ещё раз спасибо =)

Jack_on_the_wall
(14.02.21 10:14:19 MSK) автор топика

Ссылка

А ты свой IP в цепочку tcp_packets добавил?
Насколько понимаю нужно вот такое правило:

-A tcp_packets -s ип-откуда-подключаешься/32 -p tcp -m tcp --dport 22 -j allowed

Сейчас только с этих IP должно пускать на 22 порт 200.92.34.98 130.66.84.42 150.170.66.224.

DevilNeko
(14.02.21 17:35:56 MSK)

Ответ на: комментарий от DevilNeko 14.02.21 17:35:56 MSK

Нет, не добавлял ещё. У меня динамический ip, насколько понимаю, это довольно бесполезно. Или я не прав?

Jack_on_the_wall
(14.02.21 20:32:03 MSK) автор топика

Ссылка

Ответ на: комментарий от slowpony 14.02.21 10:08:53 MSK

Всё сделал по инструкции, но решил не париться и вместо того, чтобы залить стандартную версию iptables, удалил все правила: iptables -F и сервер перестал пинговаться. Что странно, по идее обнуление всех правил должно просто пропускать весь трафик. В Крон запись добавил, так что не так страшно.

Jack_on_the_wall
(14.02.21 21:31:26 MSK) автор топика

Ответ на: комментарий от DevilNeko 14.02.21 17:35:56 MSK

Добавил такое правило, действительно заработало. Скажите, а подобная жёсткая фильтрация по ip имеет смысл или это костыль от которого нужно избавляться?

Jack_on_the_wall
(15.02.21 00:46:08 MSK) автор топика

Ответ на: комментарий от Jack_on_the_wall 15.02.21 00:46:08 MSK

подобная жёсткая фильтрация по ip имеет смысл или это костыль от которого нужно избавляться?

Подобная жёсткая фильтрация позволяет не допустить непрошеных гостей.

У меня динамический ip

Тогда фильтрацию надо сделать помягче. Но необязательно пускать с любого ip (хотя так тоже можно). Но лучше узнать маску подсети своего провайдера и вместо разрешения для адрес_хоста/32_маска дать разрешение для сеть_провайдера/маска_подсети_провайдера.

aureliano15 ★★
(15.02.21 00:59:54 MSK)

Ссылка

Ответ на: комментарий от Jack_on_the_wall 15.02.21 00:46:08 MSK

Как минимум это работает. Другой вопрос что вам нужно как-то поддерживать эту простыню. По бест/ворст практикам не подскажу.

DevilNeko
(15.02.21 01:53:49 MSK)

Ссылка

Ответ на: комментарий от Jack_on_the_wall 14.02.21 21:31:26 MSK

по идее обнуление всех правил должно просто пропускать весь трафик

Я ведь писал про политику по-умолчанию.

slowpony ★★★★★
(15.02.21 04:07:33 MSK)

Ответ на: комментарий от Jack_on_the_wall 15.02.21 00:46:08 MSK

Чтобы не разрушать сесурити периметр который был построен до тебя умными людьми по каким-то неизвестным причинам, лучшее что ты можешь сделать, это - ходить через джампхост со статическим IP. (Ну или купить у провайдера выделенный IP).

slowpony ★★★★★
(15.02.21 04:13:04 MSK)