Brak trasy do hosta z nc, ale można pingować

20

Próbuję połączyć się z portem 25 za pomocą narzędzia Netcat z jednej maszyny wirtualnej na drugą, ale mówi mi to, no route to hostchociaż mogę pingować. Mam ustawioną domyślną zasadę zapory, ale mam wyjątek, aby zaakceptować ruch dla portu 25 w tej konkretnej podsieci. Mogę połączyć się z VM 3 do VM 2 na porcie 25 za pomocą nc, ale nie z VM 2 do 3.

Oto podgląd moich reguł zapory dla VM2

zrzut ekranu

Oto podgląd moich reguł zapory dla VM 3

zrzut ekranu

Kiedy pokazuję usługi nasłuchiwania, *:25które mam, co oznacza, że ​​nasłuchuje ono dla wszystkich adresów IP ipv4 i :::25adresów IPv6. Nie rozumiem, gdzie jest błąd i dlaczego nie działa obie reguły zapory akceptują ruch na porcie 25, więc powinien się łączyć. Próbowałem porównać różnice między nimi, aby zobaczyć, dlaczego mogę połączyć się z vm3 do vm2, ale konfiguracja jest taka sama. Wszelkie sugestie dotyczące problemu?

Aktualizacja zatrzymująca usługę iptable rozwiązuje problem, ale nadal potrzebuję tych reguł, aby były obecne.

linux  centos  iptables  firewall  netcat 
Katz
źródło
4
Jeśli to możliwe, unikaj zrzutów ekranu. Zamiast tego edytuj pytanie i skopiuj i wklej tekst terminala. Dzięki.
xhienne

Odpowiedzi:

22

Twój no route to hostczas, gdy komputer jest w stanie pingować, jest znakiem zapory ogniowej, która odmawia ci grzecznego dostępu (tj. Z komunikatem ICMP, a nie tylko z DROP-ping).

Widzisz swoje REJECTlinie? Pasują do opisu (ODRZUĆ z ICMP xxx). Problem polega na tym, że te pozornie (#) wszystkie REJECT wiersze znajdują się w środku twoich reguł, dlatego poniższe reguły w ogóle nie zostaną wykonane. (#) Trudno powiedzieć, jeśli są to wiersze typu catch-all, wyjście iptables -nvLbyłoby lepsze.

Umieść te reguły ODRZUCENIA na końcu i wszystko powinno działać zgodnie z oczekiwaniami.

Xhienne
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.