SSH zu Maschinen in neuem Subnetz - Verbindungs-Timeout

5

Ich benutze RHEL4 und RHEL5.

Kürzlich wurde eine neue Gruppe von Linux-Computern mit 172.16.32.0/24 eingerichtet. Die vorhandenen RHEL-Maschinen werden unter 172.16.1.0/22 ​​und 172.16.4.0/22 ​​ausgeführt. Wenn ich versuche, von 172.16.4.39 auf 172.16.1.1 zu ssh, gibt es kein Problem.

> traceroute 172.16.1.156
traceroute to 172.16.1.156 (172.16.1.156), 30 hops max, 46 byte packets
 1  swt0 (172.16.4.240)  1.396 ms  1.380 ms  1.758 ms
 2  172.16.1.156 (172.16.1.156)  579.076 ms  573.315 ms  574.878 ms

Wenn ich zu einer der neuen Maschinen ssh, bekomme ich eine ssh-Zeitüberschreitung, obwohl ich die Route zu ihr verfolgen kann.

> traceroute 172.16.32.11
traceroute to 172.16.32.11 (172.16.32.11), 30 hops max, 46 byte packets
 1  swt0 (172.16.4.240)  5.968 ms  1.641 ms  1.476 ms
 2  * * *     <----- could be misconfiguration, not sure how to troubleshoot this.
 3  172.16.32.11 (172.16.32.11)  273.330 ms  271.820 ms  274.223 ms

> ssh -v -v -v 172.16.32.11
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 172.16.32.11 [172.16.32.11] port 22.
debug1: connect to address 172.16.32.11 port 22: Connection timed out
ssh: connect to host 172.16.32.11 port 22: Connection timed out

Ich habe eine ähnliche Route auf dem Switch (swt0) und der Firewall zum Punkt 172.16.32.0/24 zum selben Gateway 172.16.5.253 hinzugefügt. Fügte auch eine neue Zeile in der hosts.allow-Datei unter 172.16.4.39 hinzu (die Maschine, von der aus ich versuche, ssh auszuführen).

> cat /etc/hosts.allow
ALL: 127.0.
ALL: 172.16.0.0/255.255.252.0
ALL: 172.16.4.0/255.255.252.0
ALL: 172.16.24.0/255.255.252.0
ALL: 172.16.32.0/255.255.255.0

Irgendwelche Ratschläge, welche anderen Dateien ich überprüfen / ändern sollte, damit ssh zwischen 172.16.4.0/22 ​​und 172.16.32.0/24 funktioniert?

Ausgabe von Ping und route -n:

> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.4.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         172.16.4.240    0.0.0.0         UG    0      0        0 eth0

> ping 172.16.32.11
PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data.
64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=1 ttl=62 time=259 ms
64 bytes from 172.16.32.11: icmp_seq=2 ttl=62 time=269 ms
64 bytes from 172.16.32.11: icmp_seq=3 ttl=62 time=268 ms

--- 172.16.32.11 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 259.331/266.884/269.777/4.408 ms, pipe 2
user11496
quelle
Können Sie das Netzwerk anpingen?
P4cK3tHuNt3R
Ja, ich kann es anpingen.
user11496
1
Sie haben eine zusätzliche IP-Adresse für einen Router eingegeben. Ihre Informationen zur Netzwerktopologie scheinen nicht vollständig zu sein. Zeigen Sie die Ausgabe von "route -n" von BEIDEN Maschinen an (identifizieren welche welche sind), die getestet werden, und bestätigen Sie die IP-Adressen des Routers zwischen diesen Maschinen. Überprüfen Sie dann iptables auf beiden Computern und alle Zugriffsregeln im Router.
Skaperen
In Ihrer letzten routeAusgabe hat das Netzwerk 172.16.4.0 die falsche Netzmaske. Ich frage mich, warum Sie mit Netzmasken wie 255.255.252.0 spielen. Es gibt 16 Netzwerke von 172.16. * Bis 172.31. *. Wenn das nicht ausreicht, check out 10. *.
ott--

Antworten:

1

Ist es möglich, dass der Router zwischen den beiden Netzwerken eine Firewall hat, die begrenzt, welche Ports Sie erreichen können? Möglicherweise ermöglicht die Firewall das Senden von ICMP-Paketen (Ping), nicht jedoch von ssh-Paketen. Versuchen Sie, einen Port-Scan von 172.16.32.11 durchzuführen:

nmap 172.16.32.11

Es sollte Ihnen anzeigen, welche Ports es erreichen kann und welche von einer Firewall blockiert ("gefiltert") werden.

> ping 172.16.32.11
PING 172.16.32.11 (172.16.32.11) 56(84) bytes of data.
64 bytes from 172.16.32.11: icmp_seq=0 ttl=62 time=269 ms

Hmm, was ist mit diesen Latenzen los? Ist das Netzwerk mit einer langsamen Verbindung verbunden oder ist dies ein mögliches Symptom für ein anderes Problem? In einem LAN sollten Latenzen <1ms auftreten.

Martin von Wittich
quelle