Centos6 ある環境からSSH Telnetが接続できない問題(タイムアウトしてしまう)

ある特定のネットワークから、外部にあるCentos6.10にSSH接続できない状態が続いております。念のためservice iptables stopをしてみても、状況は改善しないので、その他確認すべき設定等あれば、アドバイスいただければ幸いです。/etc/hosts.denyの設定に問題ありません。ちなみに、/etc.sshd/sshd.confで、1回でも接続にfailした場合は/var/log/secureに記録する旨設定をしているのですが、該当ネットワークからの接続failは記録されていません。

なお、該当ネットワークからは、(2つのWindows10における)putty, winscpと、Linuxターミナルから、Centos6.10の(複数の)ユーザに対してSSH接続を試しました。問題切り分けのため、telnetサーバを一時的に導入してみたところ、他のネットワーク環境からはtelnet接続できるものの、問題のネットワーク環境からはtelnetもできません。もちろん、問題の環境から他のLinuxサーバに対しては、問題なくSSH接続等できています。よって、現在は、他のサーバをポートフォワードしつつ該当サーバにSSH接続せざる追えない状況です。

No.5 ベストアンサー 回答者： k-841 回答日時： 2019/06/10 11:13

この手の問題は、意外にちょっとした原因の場合が多いですよね。

ありがちな原因としては、
・名前解決（変な権威サーバを見ていたり、端末のhostsに本来とは違うIPアドレスが書いてあったり）
　→IPアドレス直打ちでアクセスできるならこれで間違いないでしょう
・パケットフィルタリング
　→途中のFWが怪しいですね、SRCとDSTを細かく指定していませんか？
・ルーティング
　→行きと返りで経路が違ったりとかしませんか？（他のサービスが（本当に目的サーバに）通っているならその線は薄そうですが）

パケットフィルタリングとルーティングの切り分けは、telnetコマンドなどで通っている（はずの）サービスポート（80とか？）に接続してみて、接続先側でも確かに接続を受けている（netstatなどで調べられるでしょう）ならばルーティングはOK、さらにtelnetコマンドで22ポートに接続を試みて接続できないならパケットフィルタリングで間違いないと思います。パケットフィルタリングであれば、接続元、接続先の機器だけではなく、途中経路にある機器の設定も調べてみるといいです。「ネットワーク単位で開放しているはず」とか「サービス単位で開放しているはず」とかいう思い込みで実際の設定をよく確認もせずに悩んでいる、なんてことがよくあるので。

この回答へのお礼

ルーティングはokのはずなので、パケットフィルタリングですね。確かに、一度iptablesを結構きつめに設定したことは確かです。
設定を一度リセットした上で、あるいはiptablesサービスをSTOPした上でもssh等通らないので、不思議ではあるのですが。

いずれにせよ、細かく切り分けしてみます。ありがとうございます。

お礼日時：2019/06/17 23:07

No.4 回答者： bx2 回答日時： 2019/06/07 11:28

/etc/hosts.allow は確認しましたか？

この回答へのお礼

ありがとうございます。hosts.allowは確認済で該当のネットワーク環境を、ipアドレスとその名前で記載しています。
その記載方法で、他の環境からは接続出来ていますので、問題はないと思います。そもそも、HOSTS.DENYの設定を空欄にしても、該当ネットワークからは接続できませんので、hostsファイルの記載ではなさそうです。
また記載しているipアドレスが間違っているということはないと思います。
webサービスでipを確認しつつ、、他のサーバにsshした時のアドレスをダブルチェエクしつつ、記載していますので。

一点、問題のネットワーク環境のwindowsは、双方ともhostsファイルを手動で修正していますので、念のためその影響がないかどうか調べる必要はあると思っています。#接続できない構築中サーバを、ローカルのhostsファイルで名前解決させています。dnsサーバを切り替えるまでの暫定的処置です。

お礼日時：2019/06/07 17:59

No.3 回答者： lowrider_2005 回答日時： 2019/06/07 09:15

「該当ネットワーク」側の問題がある可能性に関して切り分けをする必要がありそうです。

「該当ネットワーク」から全く別のホストへのsshやtelnetができるか試してください。
それでダメなら「該当ネットワーク」からの出口の問題でしょう。

可能性を列挙してひとつづつ切り分けていくしか無いです。

この回答へのお礼

説明不足の部分があり恐縮です。他の外部サーバへはSSH/TELNET出来ていますので、FW等でふさがれているというわけではないようです。
問題の該当サーバのOSを一時的に別の新規インストールOSに切り替えることができますので、この作業をしつつ、切り分けを進めてみます。

お礼日時：2019/06/07 11:01

No.2 回答者： Wr5 回答日時： 2019/06/07 08:08

>問題のあるネットワークから該当サーバへ→かなり待たされた後、ポート80，443が明いていることを確認

>ssh/telnet接続できるネットワークから該当サーバへ→ポート22，23，80，443が明いていることがすぐに確認できた

会社などで外部のWebは見られるけど、他のポートは基本的に塞ぐ。という運用をしているところもあるでしょう。
その場合、システム管理部などに申請することになると思いますよ。

この回答へのお礼

説明不足の部分があり恐縮です。他の外部サーバへはSSH/TELNET出来ていますので、FW等でふさがれているというわけではないようです。
問題の該当サーバのOSを一時的に別の新規インストールOSに切り替えることができますので、この作業をしつつ、切り分けを進めてみます。

お礼日時：2019/06/07 11:01

No.1 回答者： goold-man 回答日時： 2019/06/07 06:37

pingコマンドで接続先IPアドレスに到達できるか確認しましたか？

（ネットワークが接続できない場合、一番最初に確認するべき項目）

この回答へのお礼

回答ありがとうございます。書き漏れておりましたが、問題が生じているネットワーク環境から該当サーバへのhttp/https等の通信は出来ており、Pingも到達可能です。
ただ今nmapしてみたところ、
　問題のあるネットワークから該当サーバへ→かなり待たされた後、ポート80，443が明いていることを確認
　ssh/telnet接続できるネットワークから該当サーバへ→ポート22，23，80，443が明いていることがすぐに確認できた
という切り分けまでできました。

お礼日時：2019/06/07 07:19