Сетевой брандмауэр DigitalOcean, разрешающий SSH-соединения на портах, отличных от 22

У меня есть дроплет на DigitalOcean с включенными IPv4 и IPv6. Капля находится за брандмауэром сети Digital Ocean со следующими правилами:

Входящий:

  • SSH TCP 22 Все IPv4, Все IPv6
  • HTTP TCP 80 Все IPv4, Все IPv6
  • HTTP TCP 443 Все IPv4, Все IPv6

Исходящий:

  • ICMP ICMP Все IPv4 Все IPv6
  • Все TCP TCP Все порты Все IPv4 Все IPv6
  • Все UDP UDP Все порты Все IPv4

Насколько я понимаю и ожидаю, это заблокирует все попытки ssh на портах, отличных от порта 22. Однако при проверке модуля sshd в журнале systemd. Я вижу следующие записи:

2022-12-29 03:00:32 Disconnected from invalid user antonio 43.153.179.44 port 45614 [preauth]
2022-12-29 03:00:32 Received disconnect from 43.153.179.44 port 45614:11: Bye Bye [preauth]
2022-12-29 03:00:31 Invalid user antonio from 43.153.179.44 port 45614
2022-12-29 02:58:37 Disconnected from invalid user desliga 190.129.122.3 port 1199 [preauth]
2022-12-29 02:58:37 Received disconnect from 190.129.122.3 port 1199:11: Bye Bye [preauth]
2022-12-29 02:58:37 Invalid user desliga from 190.129.122.3 port 1199

и многие другие из этих строк, что означает, что брандмауэр не блокирует ssh-соединения на портах, отличных от 22.

На следующем графике показано количество подключений ssh ​​к портам, отличным от 22, за последний час. Соединения уменьшаются при включении сетевого фильтра, но не уменьшаются.

Может быть, сетевой брандмауэр DigitalOcean не работает?

Что мне не хватает?

Кто-нибудь наблюдает такую ​​же ситуацию в своей инфраструктуре?

SQL Injection: Атаки в реальной жизни и как это вредит бизнесу
SQL Injection: Атаки в реальной жизни и как это вредит бизнесу
Один-единственный вредоносный запрос может нанести ущерб вашему бизнесу. Уязвимости вашего кода могут привести к:
1
0
96
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Порты, отображаемые в журнале, — это удаленные порты, из которых исходят соединения на удаленных IP-адресах, и не указывают, что эти порты прослушиваются на вашем сервере или через брандмауэр. Брандмауэр настроен в соответствии с вашим описанием, чтобы разрешить любому удаленному IP-адресу и порту подключаться к вашей капле через локальные порты 22, 80 и 443.

Ах... это порт, с которого было инициировано соединение... Я неправильно понял сообщения журнала... спасибо, что разъяснили это!

Ouss 29.12.2022 13:03

Другие вопросы по теме

Установите соединение с удаленным сервером SSH с закрытым ключом для exec, Node.js
Терминал zsh не может открыть конфигурацию?
Проблема с подключением через SSH из Windows к экземпляру AWS Linux [Отказано в доступе; (общедоступный ключ, gssapi-keyex, gssapi-с-микрофоном)]
Выполнение команды с использованием Paramiko SSH возвращает вывод в шестнадцатеричном кодировании
Переадресация обратного порта SSH на экземпляре EC2 aws
Заставить пользователя войти в систему с файлом ключа ssh
Могу ли я использовать комплект сборки Docker для предоставления ключа ssh пользователю без полномочий root?
Получение «Псевдотерминал не будет выделен, потому что стандартный ввод не является терминалом» при выполнении команды в SSH.NET
Как передать строку с пробелами в качестве аргумента удаленной команде ssh
«OverflowError: режим вне диапазона» в Python при работе с файловым режимом/атрибутами, возвращаемыми Paramiko

Похожие вопросы

Можно ли получить общий секрет из кодов TOTP?
Почему моя цепочка фильтров безопасности не работает?
Google Cloud SQL Postgres против Postgres с самостоятельным размещением с использованием экземпляров GCP Compute: соответствие HIPAA
Верно ли, что настраиваемые заголовки HTTP можно использовать для предотвращения CSRF, поскольку браузер не позволяет сайтам отправлять настраиваемые заголовки HTTP на другой сайт?
Расшифровать открытым ключом?
Каков современный подход к безопасному обмену данными между серверной частью и мобильным приложением?
Запрос POST org.springframework.security.authentication.InsufficientAuthenticationException: для доступа к этому ресурсу требуется полная аутентификация
Как защитить свое приложение от флаттера обратного проектирования?
Как потребовать от пользователя установить пароль телефона в приложении с помощью Flutter?
Java.security.spec.InvalidKeySpecException: спецификация закодированного ключа не распознана: не удалось создать последовательность из байта [] путем создания подписи ECDSA