Tengo una gota en DigitalOcean con IPv4 e IPv6 habilitados. La gota está detrás de un firewall de red oceánica digital con las siguientes reglas:
Entrante:
- SSH TCP 22 Todo IPv4, Todo IPv6
- HTTP TCP 80 Todo IPv4, Todo IPv6
- HTTP TCP 443 Todo IPv4, Todo IPv6
Saliente:
- ICMP ICMP Todo IPv4 Todo IPv6
- Todos TCP TCP Todos los puertos Todos IPv4 Todos IPv6
- Todos UDP UDP Todos los puertos Todos IPv4
Mi entendimiento y expectativa es que bloqueará todos los intentos de ssh en puertos distintos del puerto 22. Sin embargo, al verificar la unidad sshd en el diario systemd. Veo las siguientes entradas:
2022-12-29 03:00:32 Disconnected from invalid user antonio 43.153.179.44 port 45614 [preauth]
2022-12-29 03:00:32 Received disconnect from 43.153.179.44 port 45614:11: Bye Bye [preauth]
2022-12-29 03:00:31 Invalid user antonio from 43.153.179.44 port 45614
2022-12-29 02:58:37 Disconnected from invalid user desliga 190.129.122.3 port 1199 [preauth]
2022-12-29 02:58:37 Received disconnect from 190.129.122.3 port 1199:11: Bye Bye [preauth]
2022-12-29 02:58:37 Invalid user desliga from 190.129.122.3 port 1199
y muchas más de estas líneas, lo que significa que el firewall no bloquea las conexiones ssh en puertos distintos del 22.
El siguiente gráfico muestra el número de conexiones ssh a puertos distintos al 22 en la última hora. Las conexiones se reducen al habilitar el filtro de red, pero no disminuyen.
¿Será que el Network Firewall de DigitalOcean está roto?
¿Qué me estoy perdiendo?
¿Alguien está viendo la misma situación en su infraestructura?
Respuesta1
Los servicios escuchan en cierto puerto, por ejemplo, sshd en el puerto 22 de forma predeterminada. Significa que si hay una solicitud de un cliente ssh para establecer una conexión en un puerto distinto al 22, el servicio sshd no la escuchará en absoluto. No habrá ningún rastro en el archivo de registro de sshd para esta solicitud. En este caso, las solicitudes en realidad llegan al puerto 22. ¿Qué significa Invalid user antonio from 43.153.179.44 port 45614realmente?
- Hubo una solicitud de cliente ssh para conectarse como usuario
antonio, que no existe en el sistema - La solicitud provino de la dirección IP
43.153.179.44 - El número de puerto del cliente ssh utilizado para la conexión fue
45614, es el número de puerto en el lado del cliente, no en su droplet.
¿Será que el Network Firewall de DigitalOcean está roto?
Esto es muy improbable.
Respuesta2
En primer lugar, su demonio ssh no está escuchando en ningún puerto excepto el 22. Por lo tanto, nadie puede conectarse a él en un puerto diferente al 22. Para que una conexión se realice correctamente, el firewall debe permitirla.yalgo tiene que estar esperando para recibir el paquete: escuchando en el puerto en el lenguaje técnico.
Además, el firewall probablemente no mira lo que hay dentro de los paquetes. Solo usa números de puerto y 22 es el puerto reservado para ssh, por lo que muestra que permite ssh.
Una conexión TCP consta de cuatro identificadores:
- IP de origen
- Puerto de origen
- IP de destino
- Puerto de destino
Los puertos y la IP que se muestran en sus registros son la IP de origen y el puerto de origen. Estos son los llamadospuertos efímeros, que se asigna aleatoriamente a un proceso que desea realizar una conexión saliente.