Linux
為什麼我的網路連接被拒絕?
我有一個在 Fedora 31 主機上執行的 CentOS 8 來賓。來賓連接到橋接網路
virbr0
,並且具有地址192.168.122.217
。我可以在該地址通過 ssh 登錄來賓。如果我在監聽埠 80 的客戶機上啟動服務,則從主機到客戶機的所有連接都會失敗,如下所示:
$ curl 192.168.122.217 curl: (7) Failed to connect to 192.168.122.217 port 80: No route to host
該服務必須
0.0.0.0
:guest# ss -tln State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 0.0.0.0:22 0.0.0.0:* LISTEN 0 5 0.0.0.0:80 0.0.0.0:* LISTEN 0 128 [::]:22 [::]:*
使用
tcpdump
(在virbr0
主機上或在eth0
來賓上),我看到來賓似乎正在回复 ICMP“管理員禁止”消息。19:09:25.698175 IP 192.168.122.1.33472 > 192.168.122.217.http: Flags [S], seq 959177236, win 64240, options [mss 1460,sackOK,TS val 3103862500 ecr 0,nop,wscale 7], length 0 19:09:25.698586 IP 192.168.122.217 > 192.168.122.1: ICMP host 192.168.122.217 unreachable - admin prohibited filter, length 68
INPUT
來賓中的鏈上沒有防火牆規則:guest# iptables -S INPUT -P INPUT ACCEPT
來賓中的路由表看起來非常正常:
guest# ip route default via 192.168.122.1 dev eth0 proto dhcp metric 100 172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.217 metric 100
SELinux 處於許可模式:
guest# getenforce Permissive
如果我在埠 22 上停止
sshd
並啟動我的服務,一切都會按預期工作。是什麼導致這些連接失敗?
萬一有人要求,
iptables-save
客人的完整輸出是:*filter :INPUT ACCEPT [327:69520] :FORWARD DROP [0:0] :OUTPUT ACCEPT [285:37235] :DOCKER - [0:0] :DOCKER-ISOLATION-STAGE-1 - [0:0] :DOCKER-ISOLATION-STAGE-2 - [0:0] :DOCKER-USER - [0:0] -A FORWARD -j DOCKER-USER -A FORWARD -j DOCKER-ISOLATION-STAGE-1 -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o docker0 -j DOCKER -A FORWARD -i docker0 ! -o docker0 -j ACCEPT -A FORWARD -i docker0 -o docker0 -j ACCEPT -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2 -A DOCKER-ISOLATION-STAGE-1 -j RETURN -A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP -A DOCKER-ISOLATION-STAGE-2 -j RETURN -A DOCKER-USER -j RETURN COMMIT *security :INPUT ACCEPT [280:55468] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [285:37235] COMMIT *raw :PREROUTING ACCEPT [348:73125] :OUTPUT ACCEPT [285:37235] COMMIT *mangle :PREROUTING ACCEPT [348:73125] :INPUT ACCEPT [327:69520] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [285:37235] :POSTROUTING ACCEPT [285:37235] COMMIT *nat :PREROUTING ACCEPT [78:18257] :INPUT ACCEPT [10:600] :POSTROUTING ACCEPT [111:8182] :OUTPUT ACCEPT [111:8182] :DOCKER - [0:0] -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER -A DOCKER -i docker0 -j RETURN COMMIT
嗯,我想通了。這是一個doozy。
CentOS 8 使用nftables,這本身並不奇怪。它附帶
nft
了命令的版本iptables
,這意味著當您使用該iptables
命令時,它實際上在 nftables 中維護了一組兼容性表。然而…
Firewalld(預設安裝)具有對 nftables 的原生支持,因此它不使用 iptables 兼容層。
因此,雖然
iptables -S INPUT
向您展示:# iptables -S INPUT -P INPUT ACCEPT
你實際擁有的是:
chain filter_INPUT { type filter hook input priority 10; policy accept; ct state established,related accept iifname "lo" accept jump filter_INPUT_ZONES_SOURCE jump filter_INPUT_ZONES ct state invalid drop reject with icmpx type admin-prohibited <-- HEY LOOK AT THAT! }
這裡的解決方案(老實說可能是一般的好建議)是:
systemctl disable --now firewalld
使用 firewalld 後,可見的 iptables 規則
iptables -S
將按預期執行。