Tenho um droplet no DigitalOcean com IPv4 e IPv6 habilitados. A gota está atrás de um firewall de rede oceânica digital com as seguintes regras:
Entrada:
- SSH TCP 22 Todos IPv4, Todos IPv6
- HTTP TCP 80 Todos IPv4, Todos IPv6
- HTTP TCP 443 Todos IPv4, Todos IPv6
Saída:
- ICMP ICMP Todos IPv4 Todos IPv6
- Todos TCP TCP Todas as portas Todos IPv4 Todos IPv6
- Todos UDP UDP Todas as portas Todos IPv4
Meu entendimento e expectativa é que bloqueará todas as tentativas de ssh em portas diferentes da porta 22. No entanto, ao verificar a unidade sshd no diário do systemd. Vejo as seguintes entradas:
2022-12-29 03:00:32 Disconnected from invalid user antonio 43.153.179.44 port 45614 [preauth]
2022-12-29 03:00:32 Received disconnect from 43.153.179.44 port 45614:11: Bye Bye [preauth]
2022-12-29 03:00:31 Invalid user antonio from 43.153.179.44 port 45614
2022-12-29 02:58:37 Disconnected from invalid user desliga 190.129.122.3 port 1199 [preauth]
2022-12-29 02:58:37 Received disconnect from 190.129.122.3 port 1199:11: Bye Bye [preauth]
2022-12-29 02:58:37 Invalid user desliga from 190.129.122.3 port 1199
e muito mais dessas linhas, o que significa que o firewall não está bloqueando conexões ssh em portas diferentes de 22.
O gráfico a seguir mostra o número de conexões ssh com portas diferentes de 22 na última hora. As conexões são reduzidas com a habilitação do Filtro de Rede, mas não diminuem.
Será que o Firewall de Rede da DigitalOcean está quebrado?
o que estou perdendo?
Alguém está vendo a mesma situação em sua infraestrutura?
Responder1
Os serviços estão escutando em determinada porta, por exemplo, sshd na porta 22 por padrão. Isso significa que se houver uma solicitação do cliente ssh para estabelecer conexão na porta diferente da 22, ela não será ouvida pelo serviço sshd. Não haveria nenhum rastro no arquivo de log do sshd para esta solicitação. Neste caso, essas solicitações estão realmente chegando na porta 22. O que significa Invalid user antonio from 43.153.179.44 port 45614realmente?
- Houve solicitação do cliente ssh para conectar-se como usuário
antonio, que não existe no sistema - A solicitação veio do endereço IP
43.153.179.44 - O número da porta do cliente ssh usado para conexão era
45614, é o número da porta no lado do cliente e não no seu droplet.
Será que o Firewall de Rede da DigitalOcean está quebrado?
Isto é muito improvável.
Responder2
Primeiro de tudo, seu daemon ssh não está escutando em nenhuma porta, exceto na 22. Portanto, ninguém pode se conectar a ele em uma porta diferente da porta 22. Para que uma conexão seja bem-sucedida, ela deve ser permitida pelo firewall,ealgo deve estar esperando para receber o pacote - escutando na porta, no jargão técnico.
Além disso, o firewall provavelmente não verifica o que está dentro dos pacotes. Ele atende apenas por números de porta e 22 é a porta reservada para ssh, o que mostra que permite ssh.
Uma conexão TCP consiste em quatro identificadores:
- IP fonte
- Porta de origem
- IP de destino
- Porto de destino
As portas e IP mostrados em seus logs são o IP de origem e a porta de origem. Estes são os chamadosportas efêmeras, que é atribuído aleatoriamente a um processo que deseja fazer uma conexão de saída.