Kubuntu 21.10:すべてのポート(オープンまたはクローズ)は、ファイアウォールがアクティブでない場合でも禁止されたICMP管理を返します。どうすれば修正できますか?

tag-icon tag-icon networking firewall icmp
Kubuntu 21.10:すべてのポート(オープンまたはクローズ)は、ファイアウォールがアクティブでない場合でも禁止されたICMP管理を返します。どうすれば修正できますか?

Kubuntu 21.10の最新インストールを実行します。

マイコンピュータでネットワークサービスを実行すると、ネットワークの他の場所からそのサービスにアクセスできなくなります。エラーは常に「ホストに接続できません」です。スキャンtcpdumpの結果、SYNパケットがホストに到着しましたが、ICMP「管理禁止」パケットがすぐに再送信されたことを示します。パケットは到着しませんiptables(接続に一致するルールを追加することで確認され、そのカウンタは絶対に増加しません)。

nmapポートが開いているかどうかを検出する方法はありませんが、そのスキャンがカウンタに表示されます。nmap禁止されたパケットはICMPであるため、SYN​​パケットへの応答は送信されないため、ポートはフィルタリングされたと解釈されます。

以下は、tcpdump他のコンピュータが接続しようとしたときに発生するポート8000​​で積極的にリッスンするサービスを持つホストの出力です。

04:43:09.154362 IP 192.168.1.3.56608 > 192.168.1.183.8000: Flags [S], seq 3664350430, win 64240, options [mss 1460,sackOK,TS val 2819866111 ecr 0,nop,wscale 7], length 0
04:43:09.154417 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 68

nmapスキャンすると、次のことが発生します。

04:44:49.060156 ARP, Request who-has 192.168.1.183 tell 192.168.1.3, length 46
04:44:49.060177 ARP, Reply 192.168.1.183 is-at 74:e6:e2:da:19:0f, length 28
04:44:49.156156 IP 192.168.1.3.33094 > 192.168.1.183.8000: Flags [S], seq 4114316293, win 1024, options [mss 1460], length 0
04:44:49.156260 IP 192.168.1.183 > 192.168.1.3: ICMP host 192.168.1.183 unreachable - admin prohibited filter, length 52

iptablesはい完全明らかに、すべてのポリシーは基本的にオンチェーンであり、チェーンACCEPTにはルールはありません。filternatmangle

提供するできるlocalhostマシン自体のマシンIPを利用してローカル接続が可能です。唯一の問題は、ネットワークからアクセスを試みることです。

私のコンピュータにDockerがありますが、この問題を解決するためにDockerを無効にし、すべてのルールとiptablesチェーンを削除しました。サービスがDockerコンテナで起動した場合はいネットワークからアクセス可能です。しかし、サービスを運営しようとしています。外部コンテナの。

そのマシンにはVirtualBoxもインストールされていますが(該当する場合)、テスト時に実行されていたVirtualBoxマシンはありませんでした。

また、注目すべき点は、SSHサーバーがホスト上で実行されていることです。できる成功したアクセス - 実行中の他のサービスに関係なくアクセスできる唯一のサービスです。

Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-26 11:00 UTC
Nmap scan report for 192.168.1.183
Host is up (0.00035s latency).
Not shown: 65534 filtered ports
PORT      STATE SERVICE
22/tcp    open  ssh
MAC Address: *redacted*
Too many fingerprints match this host to give specific OS details

Nmap done: 1 IP address (1 host up) scanned in 78.45 seconds

これが起こるカーネル設定はどこにありますか?

編集:ここで要求されたようにiptables-save出力がありますが、完全に空です。

# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022
# Generated by iptables-save v1.8.7 on Wed Jan 26 06:17:24 2022
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 26 06:17:24 2022

ベストアンサー1

クバントゥであることが判明しました最新のCentOSバージョンでも同じ「問題」があります。を使用しているので完全に明確ですnftablesが、iptablesIPスタックを使用する別のファイアウォールがあります。

この追加のファイアウォールを無効にしてiptablesのみを使用したい場合は、簡単な解決策は次のとおりです。

sudo systemctl disable --now firewalld

おすすめ記事