SSH 서버의 방화벽이 내 클라이언트의 연결을 거부합니다(방화벽을 활성화하지 않아도 정상적으로 작동함).

Question

curl -4 icanhazip.com데이터를 검색하기 위해 HTTP 및 포트 80을 사용합니다. 를 실행하여 이를 확인할 수 있습니다 curl -v -4 icanhazip.com.

귀하의 ISP가 트래픽을 조작할 수 있으므로 포트 80에 대한 모든 연결은 다른 통신(포트 22에 대한 SSH 포함)과 다른 IP 주소에서 인터넷에 들어갑니다.

예를 들어 캐시를 활용하고 프록시 이후의 링크를 통한 데이터 전송을 줄이기 위해 단일 프록시 서버를 통해 많은 클라이언트의 HTTP를 라우팅할 수 있습니다. 프록시는 거의 투명합니다. 사용자 측에서 구성이 필요하지 않으며 마치 프록시가 없는 것처럼 "느껴집니다". 하지만 별도의 IP 주소를 사용하여 많은 클라이언트를 대신하여 HTTP 요청을 수행합니다. 실제로 모든 클라이언트는 이 단일 IP 주소에서 오는 것으로 HTTP 서버에 나타납니다.

실제로 무슨 일이 일어나든, 아마도 귀하에게 제공한 주소는 curlSSH 연결이 사용하는 소스 주소가 아닐 것입니다. 방화벽에서 허용한 주소가 올바른 주소가 아닙니다.

다행스럽게도 방화벽을 비활성화하고 성공적으로 연결할 수 있습니다. 이 사실을 사용하여 올바른 IP 주소를 찾으세요.

방화벽을 일시적으로 비활성화합니다.
휴대폰에서 연결하세요.
결과 쉘 세션에서 echo "$SSH_CONNECTION".
첫 번째 IP 주소는 서버가 사용자가 연결한다고 "생각"하는 주소입니다.
아무것도 인쇄 되지 echo …않으면 서버의 로그에서 클라이언트의 실제 IP를 확인하세요. 내 데비안에서 유용한 명령은 다음과 같습니다:
```
sudo tail /var/log/auth.log
journalctl _SYSTEMD_UNIT=ssh.service | tail
```
또는 일부 도구( lsof, ss, …)를 사용하여 설정된 연결 및 관련 주소를 확인합니다. 사용 중인 SSH 연결이 거기에 있어야 합니다. 여기서는 목록의 범위를 좁히고 실제로 이 단일 연결을 찾는 방법에 대해 자세히 설명하지 않겠습니다.

올바른 주소를 찾은 후 해당 주소에서 발생하는 SSH 트래픽을 허용하도록 방화벽을 재구성하십시오.

Answer 1