Основной интерфейс не доступен снаружи

Какой вопрос — такой ответ: selinux.

Хороший ответ! :=)

Совсем забыл про Selinux.
Вообще-то считал, что selinux есть только в редхатовских дистрах.

Но когда проверил - в Дебиане тоже нашлось 2 установленных пакета -

- libselinux1
- libselinux1-dev

и есть конфиг /etc/selinux/semanage.conf

Т.е. непонятно, работает Selinux, или нет, поскольку результат проверки такой -

# systemctl status selinux
Unit selinux.service could not be found.

Ну, это, скорее, сарказм был, по поводу того, что наложением рук сетевые проблемы не рулятся, неплохо бы хотя бы на входе tcpdump повесить и посмотреть есть ли трафик.

А в selinux я сам не сильно силен, пишут что командой sestatus смотреть надо.

Команду sestatus да, выдавал, но она в системе отсутствует.

А что даст tcpdump? Какой трафик она покажет - исходящий?
Так он и так есть, поскольку с выходом в Инет проблем нет.

А входящий... у меня нет сомнений, что трафик добегает до enp3s0, это же железная проволока, вернее, медная, Инет-то есть

А входящий

Да, его. А потом исходящий, а потом входящий на клиенте.

Инет-то есть

Ну смотри, у тебя может быть паранойный пров, паранойные конфиги между сервером и провом, тогда входящего не будет. Может быть заплет по маршрутизации, тогда входящего на клиенте не будет.

ping тоже не проходит. Отключил uwf - не помогло.

uwf выбирал методом тыка?

берёшь iptablels / nftables и смотришь, есть ли правила

Когда увидишь, что есть, тогда уже ищешь причину. 146% эта причина - firewalld. И кстати, его лучше не отключать, а научиться настраивать. Тем более времена сейчас неспокойные

Вообще-то считал, что selinux есть только в редхатовских дистрах.

Ну примерно так и есть. В дебиане apparmor. И нет, причина не в них

Ну смотри, у тебя может быть паранойный пров,

Какой пров? Работа идет в локалке, где 2 компа.
С десктопа на сервер пинг и ssh идет, наоборот - нет.

uwf выбирал методом тыка?

В каком смысле выбирал?

. 146% эта причина - firewalld.

Что-то такого в системе не нахожу :-(

и кстати - sshd то запущен?

и кстати - sshd то запущен?

А как же! Внутри системы он откликается.

Вот, пожалуйста:

# iptables -nvx -L -t filter
Chain INPUT (policy ACCEPT 672681 packets, 367947036 bytes)
pkts bytes target prot opt in out source destination
1583519 859495718 ufw-before-logging-input all  — * * 0.0.0.0/0 0.0.0.0/0
1583519 859495718 ufw-before-input all  — * * 0.0.0.0/0 0.0.0.0/0
672683 367947345 ufw-after-input all  — * * 0.0.0.0/0 0.0.0.0/0
672683 367947345 ufw-after-logging-input all  — * * 0.0.0.0/0 0.0.0.0/0
672683 367947345 ufw-reject-input all  — * * 0.0.0.0/0 0.0.0.0/0
672683 367947345 ufw-track-input all  — * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all  — * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 649106 packets, 502689459 bytes)
pkts bytes target prot opt in out source destination
1463313 818494446 ufw-before-logging-output all  — * * 0.0.0.0/0 0.0.0.0/0
1463313 818494446 ufw-before-output all  — * * 0.0.0.0/0 0.0.0.0/0
650678 502813514 ufw-after-output all  — * * 0.0.0.0/0 0.0.0.0/0
650678 502813514 ufw-after-logging-output all  — * * 0.0.0.0/0 0.0.0.0/0
650678 502813514 ufw-reject-output all  — * * 0.0.0.0/0 0.0.0.0/0
650678 502813514 ufw-track-output all  — * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-output (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-logging-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-logging-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-logging-output (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-reject-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-reject-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-reject-output (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-track-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-track-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-track-output (1 references)
pkts bytes target prot opt in out source destination

# iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Тогда да, это ufw. Видимо, не отключил

Да, родной командой ufw он почему-то реально не отключился,

ufw disable
Firewall stopped and disabled on system startup

Тогда отключил принудительно, и это получилось -

~# systemctl stop ufw

~# systemctl status ufw
● ufw.service - Uncomplicated firewall
Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Sat 2023-10-21 20:13:52 EEST; 2h 54min ago
Docs: man:ufw(8)
Process: 24183 ExecStop=/lib/ufw/ufw-init stop (code=exited, status=0/SUCCESS)
Main PID: 256 (code=exited, status=0/SUCCESS)
CPU: 3ms

окт 21 20:13:52 desktop systemd[1]: Stopping Uncomplicated firewall...
окт 21 20:13:52 desktop ufw-init[24183]: Skip stopping firewall: ufw (not enabled)
окт 21 20:13:52 desktop systemd[1]: ufw.service: Succeeded.
окт 21 20:13:52 desktop systemd[1]: Stopped Uncomplicated firewall.
Warning: journal has been rotated since unit was started, output may be incomplete.

Или не получилось? Слишком много буков для меня...

Продолжим? :=) Никакие танцы с бубном и протирания фар не помогли, поэтому полностью снес ufw.

Но и это не помогло! :-o

Неужели тут нет сетевиков??

Локалка через роутер ?

1) Есть такая тема, когда у компа нет IP, но есть сеть. В таком случае подключение к нему не будет. Но, как понимаю, тут не тот случай, т.к. ты какой-то адрес вводишь всё-таки.

2) Может быть загвоздка в маршрутизаторе ещё

3) Я бы попробовал прокинуть VPN и подключиться через него, абы отсеять какие-то глупые возможные проблемы

Локалка через роутер ?

Я бы выразился так: да, в локалке есть роутер.
Но в транзакциях между двумя компами по IP он не участвует, верно?
На всякий случай попробовал и с него пинговать десктоп - тоже не идет.
Можно его даже выключить, чего пока не делал, поскольку не вижу смысла.

1), 2), 3)

Да, конечно, может быть все что угодно. Но что именно? В такую удивительную ситуацию еще не вляпывался.
Насчет VPN - это еще больше запутает меня.

Я бы выразился так: да, в локалке есть роутер.

А я не понял такое выражение. Как организована такая сеть из двух компов. Упомянутый комп с проводным интерфейсом наверняка должен быть подключен к роутеру. И второй комп наверно тоже. Может всё таки маршрутизация на роутере ?

Хорошо, вот настройки сетевухи, которые отображаются при просмотре:

Адрес IP                   192.168.1.20
Широковещательный адрес:   192.168.1.255
Маска подсети:             255.255.255.0
Шлюз по умолчанию:         192.168.1.1
Первичный адрес DNS:       192.168.1.1

Второй комп , или кто там у тебя в локалке , тоже проводом в роутере , или как ? Сам говоришь не трогал. Раньше работало что ли ?

подключится по локалке к десктопу по SSH

Проверь роутер, я в некоторых видел отдельную галку - разрешить трафик между клиентами.

У тебя openssh-server стоит? Он включен?

Второй комп , или кто там у тебя в локалке , тоже проводом в роутере , или как ?

Оба в проводе

Сам говоришь не трогал. Раньше работало что ли ?

Ну да, пару-тройку месяцев всё работало, и я не припомню, чтобы где-то что-то менял в сетевых настройках.

Проверь роутер, я в некоторых видел отдельную галку - разрешить трафик между клиентами.

Да, где-то было такое, сейчас гляну

У тебя openssh-server стоит? Он включен?

Уже отвечал

Я бы выразился так: да, в локалке есть роутер.
Но в транзакциях между двумя компами по IP он не участвует, верно?

Можно его даже выключить

А? Вообще, вроде 5 звёзд и все дела, но так скомкано пишешь, брат.

Они между собой общаются через роутер или напрямую?

Проверь роутер, я в некоторых видел отдельную галку - разрешить трафик между клиентами.

Просмотрел роутер, но пока эту галку не нашел.
И то, помнится, она касалась не проводов, а WiFi-клиентов.

Внутри системы он откликается.

Что такое в твоей терминологии «внутри системы он откликается»?

Какой ip у компа, с которого пытаешься установить соединение на десктоп с ip 192.168.20?

Что такое в твоей терминологии «внутри системы он откликается»?

Проблемный комп (десктоп) имеет IP = 192.168.1.20
Логинюсь в нём, и выдаю, например, команду

$ ssh user@192.168.1.20

В конце концов, чтобы убедиться, что роутер тут не при чем, выключил его.
И картина маслом та же:

С 192.168.1.20 на 192.168.1.30 проходит и ping, и ssh.
Наоборот - ничего не проходит!

Что же тут еще??

Проверь тщательно , установлен ли на компе 1.20 openssh-server

Ну куда уж тщательнее, если openssh-server даже работает, т.е. откликается?

Но тем не менее, вот он в списке установленных пакетов -

root@chukcha:~# apt list --installed  | grep openssh
openssh-client/oldstable,now 1:8.4p1-5+deb11u2 amd64 [установлен]
openssh-server/oldstable,now 1:8.4p1-5+deb11u2 amd64 [установлен, автоматически]
openssh-sftp-server/oldstable,now 1:8.4p1-5+deb11u2 amd64 [установлен, автоматически]

https://ibb.co/wyPk6f9

У меня локалки под рукой нет. Но есть сервер на VPS. Слева у меня минт 21.2 на ноуте с белым IP и роутером. Справа сервер на дебиан 11. В сторону сервера и пинг и прочее есть , а в обратку только пинг. Поскольку на ноуте не установлен openssh-server , ну и sshd тоже нету.

Покажи ip a ip r l и netstat -tunlp

В конце концов, чтобы убедиться, что роутер тут не при чем, выключил его. И картина маслом та же

Ок, вытягивание инфы продолжается. Куда физически подключены оба компа?

Поскольку на ноуте не установлен openssh-server , ну и sshd тоже нету.

Ну сколько могу объяснять одно и тоже? Уже говорил, что ssh-сервер установлен. И список пакетов уже привел, и что он раньше работал, и что он до сих пор откликается на запрос внутри системы, сколько уже можно об одном и том же?...
Могу только добавить, что при установке любого дистрибутива первым делом, если он не предустановлен, ставлю его, потому что без него никакой работы.

Ок, вытягивание инфы продолжается. Куда физически подключены оба компа?

Да собственно, нечего и вытягивать. Если бы была какая-то экзотическая конфигурация, то обязательно описал бы.
А так она самая обыкновенная - оба компа воткнуты в обыкновенный свитч. Dumb, не Smart.

А так она самая обыкновенная - оба компа воткнуты в обыкновенный свитч. Dumb, не Smart.

0. Сделай ему power cycle.

1. Попробуй воткнуться напрямую в роутер, без свича.

Сделай ему power cycle.

Что это, незнакомо

Попробуй воткнуться напрямую в роутер, без свича.

Не получится, он далеко.
Но зато я отключал роутер, результат выше. Т.е. без изменений.

Что это, незнакомо

Можешь поискать, будет знакомо.

Но зато я отключал роутер, результат выше. Т.е. без изменений.

А с чего ты решил, что будут изменения? :)

Можно нескромный вопрос? Ты кем (примерно) работаешь?

IP раздаёт роутер или они статикой прописаны на компах?

Не получится, он далеко.

Но зато я отключал роутер

Это как вообще может быть? Свич далеко и ты не можешь его дёрнуть по питанию, а роутер ты можешь?

Сделай ему power cycle.

Мог бы выразиться и более понятно)

Это как вообще может быть? Свич далеко и ты не можешь его дёрнуть по питанию, а роутер ты можешь?

Ты запутался и меня хочешь запутать :=)
Роутер далеко, в коридоре на антресолях. Включить/выключить его запросто, т.к. внизу общий рубильник, а вот снимать его и тащить к компу проблематично.
Зато свитч рядом, я его включил и выключил - безрезультатно.

Сейчас еще попробую воткнуть патчкорд одного компьютера в гнездо другого.

Итак, воткнул патчкорд одного компьютера в сетевое гнездо второго.
Результат тот же самый:

С 192.168.1.20 на 192.168.1.30 проходит и ping, и ssh.
Наоборот - ничего не проходит!

Пробовал то же самое уже с третьего компа - аналогично.

Какие еще нужны доказательства, что ни роутер, ни свитч, ни провода здесь не при чем?

Я давно уже понял, что причина в настройках компа с 192.168.1.20, только понять ее не могу...

причина в настройках компа с 192.168.1.20, только понять ее не могу...

Если причина в настройках, значит при загрузке с лайв-флешки всё будет работать.

Ты запутался и меня хочешь запутать :=)

Я запутался? Это ты так запутано пишешь.

Сравнивай адресацию (ip, маска, шлюз, броадкаст) на компах.

да зачем, главное же тыкать во всё подряд))) типа селинукса на демьяне)))

Для начала tcpdump на тот компьютер, где входящие подключения работают, настроенный на отображение пингов (я не помню, какие флаги, чатгпт подскажет). Убедись, что правильно им пользуешься.

Потом tcpdump с теми же флагами на тот компьютер, где входящие подключения не работают.

Если tcpdump не показывает входящие пакеты, значит проблема в физическом уровне. Роутеры, свичи, вот это вот всё. 99% вероятность, что дело именно в этом. Если показывает, значит проблема в программном уровне.

Если проблема в физическом уровне, то нормально объясняй архитектуру своей сети, все устройства на пути от одного компьютера к другому, как они настроены и тд.

Повангую, что у тебя там двойной или тройной нат.

Ты просто покажи iptables -S с обоих хостов. Если файервол на одном хосте не виноват, может быть виноват файервол на другом хосте? Только отформатируй ```

ipv4 пингует роутер, возможно провайдер свой nat использует в этом случае ip и порт не будут совпадать.

Какой провайдер ? Компы буквально стоят по разную сторону одного кресла ))

Роутеры, свичи, вот это вот всё. 99% вероятность, что дело именно в этом. Если показывает, значит проблема в программном уровне.

ipv4 пингует роутер, возможно провайдер свой nat использует в этом случае ip и порт не будут совпадать.

Для особо одаренных, которые читают только заголовок темы :=) :

Итак, воткнул патчкорд одного компьютера в сетевое гнездо второго.
Результат тот же самый:

С 192.168.1.20 на 192.168.1.30 проходит и ping, и ssh.
Наоборот - ничего не проходит

Теперь инфа для тех, кто внимательно следит за топиком:

На компьютере 192.168.1.30 (который ведет себя нормально):

# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

ya-betmen