ある特定のネットワークから、外部にあるCentos6.10にSSH接続できない状態が続いております。念のためservice iptables stopをしてみても、状況は改善しないので、その他確認すべき設定等あれば、アドバイスいただければ幸いです。/etc/hosts.denyの設定に問題ありません。ちなみに、/etc.sshd/sshd.confで、1回でも接続にfailした場合は/var/log/secureに記録する旨設定をしているのですが、該当ネットワークからの接続failは記録されていません。
なお、該当ネットワークからは、(2つのWindows10における)putty, winscpと、Linuxターミナルから、Centos6.10の(複数の)ユーザに対してSSH接続を試しました。問題切り分けのため、telnetサーバを一時的に導入してみたところ、他のネットワーク環境からはtelnet接続できるものの、問題のネットワーク環境からはtelnetもできません。もちろん、問題の環境から他のLinuxサーバに対しては、問題なくSSH接続等できています。よって、現在は、他のサーバをポートフォワードしつつ該当サーバにSSH接続せざる追えない状況です。
No.5ベストアンサー
- 回答日時:
この手の問題は、意外にちょっとした原因の場合が多いですよね。
ありがちな原因としては、
・名前解決(変な権威サーバを見ていたり、端末のhostsに本来とは違うIPアドレスが書いてあったり)
→IPアドレス直打ちでアクセスできるならこれで間違いないでしょう
・パケットフィルタリング
→途中のFWが怪しいですね、SRCとDSTを細かく指定していませんか?
・ルーティング
→行きと返りで経路が違ったりとかしませんか?(他のサービスが(本当に目的サーバに)通っているならその線は薄そうですが)
パケットフィルタリングとルーティングの切り分けは、telnetコマンドなどで通っている(はずの)サービスポート(80とか?)に接続してみて、接続先側でも確かに接続を受けている(netstatなどで調べられるでしょう)ならばルーティングはOK、さらにtelnetコマンドで22ポートに接続を試みて接続できないならパケットフィルタリングで間違いないと思います。パケットフィルタリングであれば、接続元、接続先の機器だけではなく、途中経路にある機器の設定も調べてみるといいです。「ネットワーク単位で開放しているはず」とか「サービス単位で開放しているはず」とかいう思い込みで実際の設定をよく確認もせずに悩んでいる、なんてことがよくあるので。
ルーティングはokのはずなので、パケットフィルタリングですね。確かに、一度iptablesを結構きつめに設定したことは確かです。
設定を一度リセットした上で、あるいはiptablesサービスをSTOPした上でもssh等通らないので、不思議ではあるのですが。
いずれにせよ、細かく切り分けしてみます。ありがとうございます。
No.4
- 回答日時:
/etc/hosts.allow は確認しましたか?
ありがとうございます。hosts.allowは確認済で該当のネットワーク環境を、ipアドレスとその名前で記載しています。
その記載方法で、他の環境からは接続出来ていますので、問題はないと思います。そもそも、HOSTS.DENYの設定を空欄にしても、該当ネットワークからは接続できませんので、hostsファイルの記載ではなさそうです。
また記載しているipアドレスが間違っているということはないと思います。
webサービスでipを確認しつつ、、他のサーバにsshした時のアドレスをダブルチェエクしつつ、記載していますので。
一点、問題のネットワーク環境のwindowsは、双方ともhostsファイルを手動で修正していますので、念のためその影響がないかどうか調べる必要はあると思っています。#接続できない構築中サーバを、ローカルのhostsファイルで名前解決させています。dnsサーバを切り替えるまでの暫定的処置です。
No.3
- 回答日時:
「該当ネットワーク」側の問題がある可能性に関して切り分けをする必要がありそうです。
「該当ネットワーク」から全く別のホストへのsshやtelnetができるか試してください。
それでダメなら「該当ネットワーク」からの出口の問題でしょう。
可能性を列挙してひとつづつ切り分けていくしか無いです。
説明不足の部分があり恐縮です。他の外部サーバへはSSH/TELNET出来ていますので、FW等でふさがれているというわけではないようです。
問題の該当サーバのOSを一時的に別の新規インストールOSに切り替えることができますので、この作業をしつつ、切り分けを進めてみます。
No.2
- 回答日時:
>問題のあるネットワークから該当サーバへ→かなり待たされた後、ポート80,443が明いていることを確認
>ssh/telnet接続できるネットワークから該当サーバへ→ポート22,23,80,443が明いていることがすぐに確認できた
会社などで外部のWebは見られるけど、他のポートは基本的に塞ぐ。という運用をしているところもあるでしょう。
その場合、システム管理部などに申請することになると思いますよ。
説明不足の部分があり恐縮です。他の外部サーバへはSSH/TELNET出来ていますので、FW等でふさがれているというわけではないようです。
問題の該当サーバのOSを一時的に別の新規インストールOSに切り替えることができますので、この作業をしつつ、切り分けを進めてみます。
No.1
- 回答日時:
pingコマンドで接続先IPアドレスに到達できるか確認しましたか?
(ネットワークが接続できない場合、一番最初に確認するべき項目)
回答ありがとうございます。書き漏れておりましたが、問題が生じているネットワーク環境から該当サーバへのhttp/https等の通信は出来ており、Pingも到達可能です。
ただ今nmapしてみたところ、
問題のあるネットワークから該当サーバへ→かなり待たされた後、ポート80,443が明いていることを確認
ssh/telnet接続できるネットワークから該当サーバへ→ポート22,23,80,443が明いていることがすぐに確認できた
という切り分けまでできました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
TortoiseSVNでアクセスエラー
-
FTPのアップロートとダウンロー...
-
Windows7 ネットワーク接続が切...
-
mac用のディスプレを windowsで...
-
【FTP】ファイル一覧の取得を中...
-
Macのファイル共有で複数のPCを...
-
FFFTP、filezllaに詳しい方教え...
-
Hyper-Vでのネットワーク設定
-
有線Ethernetポートの固定IPア...
-
Tera Term Pro からリモートロ...
-
接続したけれど・・・
-
ubuntuでマイクラサーバーを開...
-
iPhoneでMacに外出先からVNCで...
-
ssh接続が定期的に。。。
-
ネットワーク上にホスト名が同...
-
iMacを無線LANで使うには
-
リモートデスクトップ接続でパ...
-
循環参照にならない方法があっ...
-
DNSサーバを設定したのですがns...
-
「DNSサーバーを自動的に取得す...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Real VNCが頻繁に切断されます
-
TortoiseSVNでアクセスエラー
-
VirtualBoxのGuestマシンのネッ...
-
AS400データをCSVやテキスト...
-
(SSH)TeraTermでのリモートログ...
-
SFTPで仮想サーバに接続できません
-
至急) mac finderの場所 ネット...
-
固定IPアドレスでもリンクアッ...
-
クロームキャストについて質問...
-
Hyper-vにて教えてください
-
接続先のIPを知る方法
-
TeraTerm Domain名を用いてロ...
-
同一ポート番号ソケットOPE...
-
FTPのアップロートとダウンロー...
-
リモートデスクトップのアクセ...
-
Macで別セグメントとのファイル...
-
Windows7 ネットワーク接続が切...
-
Tera Term Pro からリモートロ...
-
vmwareでホストOSからゲストOS...
-
FFFTP、filezllaに詳しい方教え...
おすすめ情報