Warnung: Remote-Port-Weiterleitung für Abhörport auf Centos 6 fehlgeschlagen

tag-icon tag-icon ssh centos-6 ssh-tunnel
Warnung: Remote-Port-Weiterleitung für Abhörport auf Centos 6 fehlgeschlagen

Ich habe ein Problem mit der Portweiterleitung in CentOS 6, wenn ich Folgendes mache:

ssh -v -R root@hostname:19999:localhost:22 root@hotname

Ich erhalte diese Warnung:

Warning: remote port forwarding failed for listen port 19999

Die SSH-Sitzung startet, aber ich kann sie nicht als Tunnel verwenden. Die vollständige Ausgabe ist diese:

OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to hostname [ip.ip.ip.ip] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/identity-cert type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'hostname' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_0' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_0' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_0' not found

debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/identity
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug1: Next authentication method: password
hostname's password: 
debug1: Authentication succeeded (password).
debug1: Remote connections from root@hostname:19999 forwarded to local address localhost:22
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]

debug1: Entering interactive session.
debug1: remote forward failure for: listen 19999, connect localhost:22
Warning: remote port forwarding failed for listen port 19999
debug1: All remote forwarding requests processed
debug1: Sending environment.
debug1: Sending env LANG = en_US.UTF-8
Last login: Sun Jul 21 17:24:54 2013 from 172.16.63.56

während der Verbindung erhalte ich in /var/log/secure die Meldungen:

Jul 21 18:30:09 localhost sshd[11816]: Accepted password for root from 172.16.63.56 port 52035 ssh2
Jul 21 18:30:09 localhost sshd[11816]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 21 18:30:09 localhost sshd[11816]: error: channel_setup_fwd_listener: getaddrinfo(root@hostname): Name or service not known

Ich kann denselben Befehl von einem anderen PC mit Ubuntu aus ausführen und er funktioniert einwandfrei. Außerdem bin ich sicher, dass Port 19999 frei ist. Was kann ich tun?

Antwort1

Versuchen Sie, den „root@“-Teil des Arguments wegzulassen -R:

ssh -v -R hostname:19999:localhost:22 root@hostname

Bei der Vier-Parameter-Version von -Rsind die vier Parameter die Adresse und der Port, um auf dem Remote-Host auf Verbindungen zu warten, sowie die Adresse und der Port, an die vom lokalen Host weitergeleitet werden soll.

Sie geben den Wert „root@hostname“ als Remote-Bind-Host/-Adresse an. Dieser Wert sollte nur ein Hostname oder eine IP-Adresse sein; ssherwartet nicht, dass dieser Wert einen Benutzernamen enthält. sshversucht wahrscheinlich, die gesamte Zeichenfolge „root@hostname“ als Hostnamen nachzuschlagen, und schlägt fehl.

Antwort2

Ich hatte gerade mit demselben Problem unter RHEL7 zu kämpfen, aber zusätzlich wurde es dadurch kompliziert, dass der Benutzer, mit dem ich mich verbunden habe, ein SElinux-Benutzer mit der Einschränkung „user_u“ war. Das audit.log hat Folgendes protokolliert:

23. 12/09/2015 12:24:40 sshd user_u:user_r:user_t:s0 49 tcp_socket name_bind system_u:object_r:unreserved_port_t:s0 denied 8595602
24. 12/09/2015 12:24:40 sshd user_u:user_r:user_t:s0 49 tcp_socket name_bind system_u:object_r:unreserved_port_t:s0 denied 8595603

aber ich brauche immer eine Weile, bis ich merke, dass ich dort suchen sollte :-)

Um dies zu beheben, musste ich einen Port im Bereich ephemeral_port_t verwenden.

SELinux Port Type              Proto    Port Number
ephemeral_port_t               tcp      32768-61000
ephemeral_port_t               udp      32768-61000

verwandte Informationen