Brak trasy do hosta z nc, ale można pingować


20

Próbuję połączyć się z portem 25 za pomocą narzędzia Netcat z jednej maszyny wirtualnej na drugą, ale mówi mi to, no route to hostchociaż mogę pingować. Mam ustawioną domyślną zasadę zapory, ale mam wyjątek, aby zaakceptować ruch dla portu 25 w tej konkretnej podsieci. Mogę połączyć się z VM 3 do VM 2 na porcie 25 za pomocą nc, ale nie z VM 2 do 3.

Oto podgląd moich reguł zapory dla VM2

zrzut ekranu

Oto podgląd moich reguł zapory dla VM 3

zrzut ekranu

Kiedy pokazuję usługi nasłuchiwania, *:25które mam, co oznacza, że ​​nasłuchuje ono dla wszystkich adresów IP ipv4 i :::25adresów IPv6. Nie rozumiem, gdzie jest błąd i dlaczego nie działa obie reguły zapory akceptują ruch na porcie 25, więc powinien się łączyć. Próbowałem porównać różnice między nimi, aby zobaczyć, dlaczego mogę połączyć się z vm3 do vm2, ale konfiguracja jest taka sama. Wszelkie sugestie dotyczące problemu?

Aktualizacja zatrzymująca usługę iptable rozwiązuje problem, ale nadal potrzebuję tych reguł, aby były obecne.


4
Jeśli to możliwe, unikaj zrzutów ekranu. Zamiast tego edytuj pytanie i skopiuj i wklej tekst terminala. Dzięki.
xhienne

Odpowiedzi:


22

Twój no route to hostczas, gdy komputer jest w stanie pingować, jest znakiem zapory ogniowej, która odmawia ci grzecznego dostępu (tj. Z komunikatem ICMP, a nie tylko z DROP-ping).

Widzisz swoje REJECTlinie? Pasują do opisu (ODRZUĆ z ICMP xxx). Problem polega na tym, że te pozornie (#) wszystkie REJECT wiersze znajdują się w środku twoich reguł, dlatego poniższe reguły w ogóle nie zostaną wykonane. (#) Trudno powiedzieć, jeśli są to wiersze typu catch-all, wyjście iptables -nvLbyłoby lepsze.

Umieść te reguły ODRZUCENIA na końcu i wszystko powinno działać zgodnie z oczekiwaniami.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.