调整网关或iptables导致ssh连接未响应

已于 2023-07-26 14:37:50 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: linux 文章标签: ssh 服务器 linux
于 2023-01-03 16:45:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rockstics/article/details/128535206
版权
文章描述了一个网络环境中,由于iptables规则设置不当导致的SSH连接问题。服务器A不能通过服务器B进行外网访问,且其他服务器之间SSH连接受阻。解决方案是精细化iptables的POSTROUTING规则,排除SSH端口22的转发,以允许正确连接。此外,文章还提到了如何查看、删除iptables规则以及在CentOS7中持久化规则的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

同一子网内服务器A,C,D等和B之间可以相互连接,服务器A,C,D等可以通过同一子网的B机器ssh连接,通过VPN可以直接连接到同一子网的B,但是无法直接连接服务器A,C,D等其他服务器
ssh连接一直停在连接状态
xshell连接如图
在这里插入图片描述

问题服务器A无法上外网,之前调整过网关,指向可以上外网的服务器B,并且在B上设置了iptables路由转发

问题所在,B中的IPtables规则设置不严谨导致
原来的规则:

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

这条规则表示将子网10段的服务器所有的出口流量都通过B服务器转发(包括ssh服务),导致ssh连接A等以其他服务器时,其返回给客户端的是B的地址导致连接无法建立。
调整后规则:

iptables -t nat -A POSTROUTING -p tcp -m tcp ! --sport 22 -s 192.168.10.0/24 -j MASQUERADE

并且源地址192.168.10.0/24 如果是具体的某一台服务器可以限制为具体IP,

问题解决

其他:
查看、删除和永久保存iptables规则
查看

iptables -t nat -nL --line-number

在这里插入图片描述

根据line-number删除具体的某一条规则

iptables -t nat -D POSTROUTING 10

-t #指定路由表
-D 删除 后面跟链和line-number

CentOS 7永久保存

yum install -y iptables-services && service iptables save
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2391
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
Linux服务器收到SYN请求包没有回应ACK导致客户端无法建立TCP连接
热门推荐
dvlinker的技术专栏
05-18 2万+
问题描述: 最近测试同事反馈一个很奇怪的问题,电子白板客户端加入白板会议后,经常出现下载同步文件失败的问题。下载同步文件使用的是https请求,经抓包得知,在试图建立TCP连接时,客户端发送三次握手申请的SYN包,但是服务器没有回应ACK,然后客户端触发了TCP的丢包重转,重发SYN包,但服务器始终没回ACK,导致无法完成建立TCP连接,所以无法下载同步文件。SYN包从本端网卡发出...
iptables-F 后 SSH 连接断开
depakin+的专栏
05-29 1万+
最近回收利用一台被征用做邮件服务的服务器,重新部署新的业务。 清理了所有的安装软件和目录文件后,调整了网络安全组规则,仅开放所需端口。 看了下防火墙的配置: ```shell # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere st...
ssh连接VPS,更改端口,配置iptables后,重启连接失败的原因
ssgy1312的博客
12-22 1013
购买了一个vps,系统是centos 7 ,用xshell连接进行操作。但是因为vps经常被恶意扫描和尝试登录,所以打算禁用ssh的默认端口。 iptables -A INPUT -p tcp --dport 22 -j REJECT #禁用22端口 同时放行更改后的ssh连接端口。 iptables -A INPUT -p tcp --dport 8888 -j ACCEPT #允许8888...
ssh 自动断开, 无响应 解决方法
Jesse的博客
10-07 1668
ssh 链接远程服务器时, 如果一段时间没有操作ssh就会自动断开,而且经常会无响应,重新链接可能还要卡一会 解决方案 方案一: 修改服务器 sshd 服务配置 cd /etc/ssh # 备份配置文件 cp sshd_config sshd_config.bak # 启用客户端活动检查,每60秒检查一次,3次不活动断开连接 sed -i "s/#ClientAliveInterval 0/Cli...
sshpass执行后没有响应,也没有登录成功
weixin_42492572的博客
05-04 2331
sshpass执行后没有响应,也没有登录成功
SSH远程登录无响应解决
天山老妖
12-31 363
原因:VPN虚拟网卡MTU大于远程服务器网络的MTU。SSH密钥交换阶段一次发送的数据一般大于 1500 字节,因此至少填满了一个MTU;通过VPN虚拟网卡发出密钥交换信息,因为大于远程服务器网络的MTU,而被丢弃。现象:使用VPN连接某台服务器,VPN连接成功,telnet 22端口正常,说明网络链路正常,SSH服务正常。但SSH登录时一直卡住。解决方案:将VPN虚拟网卡的MTU设置为1200后,不会超过远程服务器网络设定的MTU,因此可以正常交换密钥。
Linux 防火墙之iptables
weixin_67510296的博客
05-17 5171
文章目录一、iptables 概述1.1 netfilter/iptables关系1.2 iptables 的四表五链二、iptables 配置2.1 iptables 安装2.2 iptables 命令2.3 常见控制类型2.4 管理选项2.5 添加新的规则2.6 查看规则列表2.7 删除、清空规则2.8 设置默认策略三、规则匹配条件3.1 通用匹配3.2 隐含匹配3.3 显示匹配3.4 状态匹配四、总结 一、iptables 概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 ne
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1167
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 3135
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
SSH链接服务器两三分钟不操作就无响应断联
白日梦想家
04-02 1151
SSH链接服务器两三分钟不操作就无响应断联 参考: https://www.jianshu.com/p/92d60c6c92ef https://www.cnblogs.com/wangdidi/p/10944460.html 使用SSH链接远程服务器,没有操作两三分钟该链接就无响应断联了 调整服务端SSH配置定时发送请求,保持心跳,即可解决问题 链接服务器,切换到root用户,编辑SSH配置 edit /etc/ssh/sshd_config 修改ClientAliveInterval Clien
系统IP变化后SSH连接不上的解决方法
m1913843179的博客
12-16 3880
客户端未变,服务器端变更IP地址,导致客户端链接失败,这种情况提示如下: 原因是服务器端更改IP地址后,秘钥也需更新 在客户端输入以下格式的命令: ssh-keygen-f"/home/用户名/.ssh/known_hosts" -R 服务器端的ip地址 即: ssh-keygen -f “/home/haha/.ssh/known_hosts” -R 192.168.1.8 SSH再次登录成功...
解决SSH自动断线,无响应的问题
yang_rong_yong的专栏
04-27 1627
解决SSH自动断线,无响应的问题。 Leave a reply 在连接远程SSH服务的时候,经常会发生长时间后的断线,者无响应(无法再键盘输入)。 总体来说有两个方法: 1、依赖ssh客户端定时发送心跳。 putty、SecureCRT、XShell都有这个功能,但是目测不太好用。 此外在Linux下:   #打开 sudo vim /etc/ssh/ssh_
【o2o商城项目】恢复iptables使用,造成mysql无法远程访问以及SSH登录端口修改后不生效问题
周哥的offer秘籍
08-21 446
几经查找,发现原因在于,mysql端口号没有在iptables中配置。项目中为了将发送给80端口的请求给转发到8080端口,选择恢复使用iptables.service防火墙。最关键的同样是,新增行要放在icmp-host-prohibited之前。按照其他文章,修改SSH登录端口后,要想端口生效,不仅要配置安全组,
网络连接状态断开服务器无响应,解决SSH自动断线,无响应的问题。
weixin_39534395的博客
07-29 1156
ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。# 打开sudo vim /etc/ssh/sshd_config# 添加ClientAliveInterval 30ClientAliveCountMax 6ClientAliveInterval表示每隔多少秒,服务器端向客户端发送心跳,是的,你没看错。...
解决ssh连接一段时间后光标无响应问题
Kingber
05-10 5144
1.修改server端的 etc/ssh/sshd_config ClientAliveInterval 60 #server每隔60秒发送一次请求给client,然后client响应,从而保持连接 ClientAliveCountMax 3 #server发出请求后,客户端没有响应得次数达到3,就自动断开连接,正常情况下,client不会不响应 2.修改client端的 etc/ssh
kvm连接服务器显示不出来,kvm ssh 连不上处理
weixin_39656174的博客
08-03 1000
系统环境:CentOS Linux release 7.5.1804 (Core)nginx虚拟化:libvirt 3.9.0 版本web操做以前必须搞清楚:vim一、 服务端 webvirtmgr 的管理用户是谁?bashps -ef|grep webvirtmgr #官方通常建议是nginx服务器二、 客户端 libvirt 的管理用户是谁?ssh经过webvirtmgr管理界面上S...
linux防火墙允许ssh通过,通过SSH连接linux,如何配置防火墙iptables?(一配就登不上去)...
weixin_42324905的博客
05-13 580
通过SSH连接linux,如何配置防火墙iptables?(一配就登不上去)。看网上配置iptables命令,都是先设置DROP的预设规则,再添加允许访问的规则,但我是SSH远程连接服务器,我在配置时时,就连上不系统了:我是先添加了允许访问的规则,etc/sysconfig/iptables.save内容如下:*filter:INPUTACCEPT[37:6326]:FORWARDACCEP...
【欧拉系统iptables限制SSH登录】
yuxue_cn的博客
07-03 891
欧拉系统限制SSH登录源地址
那dhcp未响应怎么处理
最新发布
03-09
<think>嗯,用户之前问了关于Kali Linux中DHCP无法获取IP的问题,我给出了详细的排查步骤。现在用户进一步询问“dhcp未响应怎么处理”,需要根据之前的回答继续深入。 首先,用户可能已经尝试过之前的步骤,但问题仍未解决,所以需要更针对性的解决方案。DHCP未响应通常涉及客户端和服务器之间的通信问题,所以需要从多个层面分析。 需要考虑用户的环境,比如是物理机还是虚拟机,网络配置是否正确,是否有防火墙干扰,者DHCP服务器本身的问题。根据之前的步骤,用户可能已经检查了网卡驱动、接口配置,现在需要更深入的服务端和网络环境排查。 接下来,应该分步骤给出解决方案,从基本检查开始,比如物理连接、IP释放更新,然后到服务端测试、抓包分析,再到防火墙和路由设置。可能还需要考虑DHCP服务器配置的问题,比如地址池耗尽绑定限制。 用户可能需要具体的命令示例,比如使用dhclient、nmap扫描、tcpdump抓包等,这些都需要详细说明,确保用户能正确执行。同时,要提醒用户注意权限问题,比如使用sudo。 另外,用户可能不熟悉网络诊断工具,所以需要解释每个步骤的目的和预期结果。例如,用nmap扫描DHCP服务器是否存在,者用tcpdump查看请求是否到达服务器。 还需要考虑特殊环境,比如企业网络中的MAC绑定认证问题,虚拟机中的网络模式设置错误。这时候要给出对应的解决方案,比如克隆MAC地址更改虚拟机网络配置。 最后,要确保回答结构清晰,步骤有序,让用户能够逐步排除问题。可能需要总结一个检查清单,帮助用户系统地进行故障排除。</think>以下是针对 **DHCP服务器未响应问题** 的 **分层排查与解决方案**,结合真实网络场景和关键命令演示: --- ### 一、基础检查(5分钟速查) #### 1. **物理层验证** ```bash ethtool eth0 | grep "Link detected" # 检查物理连接 ``` - ✅ 正常输出:`Link detected: yes` - ❌ 异常处理: - 更换网线/端口 - 检查网卡指示灯(绿色常亮=连接,闪烁=数据传输) #### 2. **强制DHCP请求更新** ```bash sudo dhclient -v -4 -d eth0 # 前台显示详细过程 ``` - **观察关键阶段**: ```diff + DHCPDISCOVER 广播发出 - 未收到DHCPOFFER → 物理层/网络层问题 + 收到DHCPOFFER但无ACK → 服务器配置问题 ``` --- ### 二、网络层隔离测试(精准定位) #### 1. **临时静态IP测试连通性** ```bash sudo ip addr add 192.168.1.100/24 dev eth0 # 假设同网段IP ping 192.168.1.1 # 测试与网关通信 ``` - ✅ 能ping通 → DHCP服务问题 - ❌ 不通 → 物理链路/交换机配置问题 #### 2. **扫描DHCP服务器存在性** ```bash sudo nmap -sU -p 67 192.168.1.0/24 # UDP扫描DHCP端口 ``` - ✅ 正常结果: ``` Nmap scan report for router (192.168.1.1) PORT STATE SERVICE 67/udp open dhcps ``` --- ### 三、协议层抓包分析(高级诊断) #### 1. **tcpdump抓取DHCP报文** ```bash sudo tcpdump -i eth0 -vvv -n port 67 or port 68 -w dhcp.pcap ``` - **关键报文分析**: - 客户端发出`DHCP Discover`但无响应 → 网络阻断 - 服务器回复`DHCP Offer`但客户端未收到 → ARP欺骗/中间设备过滤 #### 2. **解析抓包文件** ```bash tshark -r dhcp.pcap -Y "bootp.option.dhcp == 1" # 过滤DHCP流量 ``` - **典型故障模式**: - 只有`DHCP Discover`无后续 → 证明请求未到达服务器 - 出现`DHCP NAK` → 服务器拒绝分配(如MAC黑名单) --- ### 四、服务端排查(需管理员权限) #### 1. **检查DHCP服务状态** ```bash ssh admin@router 'show running-config | include dhcp' # Cisco设备示例 ``` - **关键配置点**: - 地址池范围是否有效 - 是否有`ip dhcp excluded-address`排除冲突 - 接口是否启用DHCP:`ip dhcp relay information trusted` #### 2. **日志分析(以ISC DHCP为例)** ```bash journalctl -u isc-dhcp-server.service --since "5 minutes ago" # 查看服务日志 ``` - **常见错误**: - `No free leases` → 地址池耗尽 - `UID is 00:00:00:00` → 客户端身份认证失败 --- ### 五、防火墙与路由对策 #### 1. **本地防火墙放行**(Kali Linux默认无iptables) ```bash sudo iptables -L -v -n # 检查现有规则 sudo iptables -I INPUT -p udp --dport 67:68 -j ACCEPT # 临时允许DHCP ``` #### 2. **跨网段中继检查** ```bash traceroute -n 255.255.255.255 # 跟踪广播路径(需root权限) ``` - 若存在三层设备: - 确认`ip helper-address`配置正确 - 检查中继设备的ACL是否放行UDP 67/68 --- ### 六、企业网络特殊对策 #### 1. **认证网络处理**(如802.1X) ```bash sudo apt install wpasupplicant sudo wpa_supplicant -i eth0 -c /etc/wpa_supplicant.conf # 配置EAP认证 ``` #### 2. **IP冲突应急方案** ```bash sudo arping -c 3 -I eth0 192.168.1.100 # 检测IP是否被占用 ``` - 如果发现冲突: ```bash sudo ip addr flush eth0 # 清除错误配置 sudo macchanger -r eth0 # 随机化MAC地址 ``` --- ### 终极解决方案流程图 ``` 物理连接正常 → 获取到IP? → 是 → 成功 ↓否 检查驱动/接口状态 → 正常? → 是 → 进入网络层排查 ↓否 更新驱动/更换硬件 → 重新测试 ↓ 网络层连通? → 否 → 检查交换机/网线 ↓是 抓包分析DHCP流程 → 请求到达服务器? → 否 → 检查路由/防火墙 ↓是 查看服务器日志 → 明确拒绝原因 → 调整服务器配置 ``` 通过以上分层排查,90%以上的DHCP未响应问题可准确定位。如果仍无法解决,建议使用Wireshark图形化工具进行协议级分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值