Linux

為什麼我的網路連接被拒絕?

  • July 30, 2021

我有一個在 Fedora 31 主機上執行的 CentOS 8 來賓。來賓連接到橋接網路virbr0,並且具有地址192.168.122.217。我可以在該地址通過 ssh 登錄來賓。

如果我在監聽埠 80 的客戶機上啟動服務,則從主機到客戶機的所有連接都會失敗,如下所示:

$ curl 192.168.122.217
curl: (7) Failed to connect to 192.168.122.217 port 80: No route to host

該服務必須0.0.0.0

guest# ss -tln
State    Recv-Q    Send-Q        Local Address:Port        Peer Address:Port

LISTEN   0         128                 0.0.0.0:22               0.0.0.0:*
LISTEN   0         5                   0.0.0.0:80               0.0.0.0:*
LISTEN   0         128                    [::]:22                  [::]:*

使用tcpdump(在virbr0主機上或在eth0來賓上),我看到來賓似乎正在回复 ICMP“管理員禁止”消息。

19:09:25.698175 IP 192.168.122.1.33472 > 192.168.122.217.http: Flags [S], seq 959177236, win 64240, options [mss 1460,sackOK,TS val 3103862500 ecr 0,nop,wscale 7], length 0
19:09:25.698586 IP 192.168.122.217 > 192.168.122.1: ICMP host 192.168.122.217 unreachable - admin prohibited filter, length 68

INPUT來賓中的鏈上沒有防火牆規則:

guest# iptables -S INPUT
-P INPUT ACCEPT

來賓中的路由表看起來非常正常:

guest# ip route
default via 192.168.122.1 dev eth0 proto dhcp metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.217 metric 100

SELinux 處於許可模式:

guest# getenforce
Permissive

如果我在埠 22 上停止sshd並啟動我的服務,一切都會按預期工作。

是什麼導致這些連接失敗?


萬一有人要求,iptables-save客人的完整輸出是:

*filter
:INPUT ACCEPT [327:69520]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [285:37235]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
*security
:INPUT ACCEPT [280:55468]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
COMMIT
*raw
:PREROUTING ACCEPT [348:73125]
:OUTPUT ACCEPT [285:37235]
COMMIT
*mangle
:PREROUTING ACCEPT [348:73125]
:INPUT ACCEPT [327:69520]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
:POSTROUTING ACCEPT [285:37235]
COMMIT
*nat
:PREROUTING ACCEPT [78:18257]
:INPUT ACCEPT [10:600]
:POSTROUTING ACCEPT [111:8182]
:OUTPUT ACCEPT [111:8182]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j RETURN
COMMIT

嗯,我想通了。這是一個doozy。

CentOS 8 使用nftables,這本身並不奇怪。它附帶nft了命令的版本iptables,這意味著當您使用該iptables命令時,它實際上在 nftables 中維護了一組兼容性表。

然而…

Firewalld(預設安裝)具有對 nftables 的原生支持,因此它不使用 iptables 兼容層。

因此,雖然iptables -S INPUT向您展示:

# iptables -S INPUT
-P INPUT ACCEPT

實際擁有的是:

       chain filter_INPUT {
               type filter hook input priority 10; policy accept;
               ct state established,related accept
               iifname "lo" accept
               jump filter_INPUT_ZONES_SOURCE
               jump filter_INPUT_ZONES
               ct state invalid drop
               reject with icmpx type admin-prohibited  <-- HEY LOOK AT THAT!
       }

這裡的解決方案(老實說可能是一般的好建議)是:

systemctl disable --now firewalld

使用 firewalld 後,可見的 iptables 規則iptables -S將按預期執行。

引用自:https://unix.stackexchange.com/questions/552857