Ubuntu 18.04 LTS를 실행하는 Hetzner-Cloud에 새로 설정된 서버에서 문제가 발생했습니다.
Iptables(-persist)를 설치하고 다음 규칙 세트를 구성한 후:
root@inetsec:/home/linus# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 1.2.3.4 tcp dpt:272
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
다른 여러 포트(110, 143, 25, 993)를 사용하여 Telnet을 사용하면 여전히 성공적인 TCP-Handshake를 얻을 수 있습니다.
그럼에도 불구하고 이 포트를 담당하는 응용 프로그램(Dovecot 및 Postfix)은 실행되고 있지 않으며 netstat -tulpen다음을 표시합니다.
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 112 20485 1198/mysqld
tcp 0 0 1.2.3.4:272 0.0.0.0:* LISTEN 0 18773 1047/sshd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 19746 1113/systemd-resolv
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 111 19076 1004/named
udp 0 0 127.0.0.53:53 0.0.0.0:* 101 19745 1113/systemd-resolv
udp 0 0 127.0.0.1:53 0.0.0.0:* 111 19075 1004/named
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 18955 1173/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 15042 816/dhclient
ICMP-Destination Unreachable (3), 예상되는 시간 초과(INPUT DROP 정책으로 인해) 또는 최소한 닫힌 포트에 대한 메시지 대신 텔넷을 사용하여 언급된 포트에서 TCP 핸드셰이크를 받습니다 .
내가 발견한 문제는 저장된 iptable 규칙 세트( iptables-save > /etc/iptables/rules.v4)를 사용하여 서버를 재부팅하는 경우 서버가 상태에서 약 5분 동안 중단된다는 것입니다.
....
iscsi: registered transport (tcp)
iscsi: registered transport (user)
로그인을 활성화하기 전에.
또한 명령을 실행하는 데 약 15초가 걸립니다.iptables -L