У меня есть дроплет на DigitalOcean с включенными IPv4 и IPv6. Капля находится за брандмауэром сети Digital Ocean со следующими правилами:
Входящий:
Исходящий:
Насколько я понимаю и ожидаю, это заблокирует все попытки ssh на портах, отличных от порта 22. Однако при проверке модуля sshd в журнале systemd. Я вижу следующие записи:
2022-12-29 03:00:32 Disconnected from invalid user antonio 43.153.179.44 port 45614 [preauth]
2022-12-29 03:00:32 Received disconnect from 43.153.179.44 port 45614:11: Bye Bye [preauth]
2022-12-29 03:00:31 Invalid user antonio from 43.153.179.44 port 45614
2022-12-29 02:58:37 Disconnected from invalid user desliga 190.129.122.3 port 1199 [preauth]
2022-12-29 02:58:37 Received disconnect from 190.129.122.3 port 1199:11: Bye Bye [preauth]
2022-12-29 02:58:37 Invalid user desliga from 190.129.122.3 port 1199
и многие другие из этих строк, что означает, что брандмауэр не блокирует ssh-соединения на портах, отличных от 22.
На следующем графике показано количество подключений ssh к портам, отличным от 22, за последний час. Соединения уменьшаются при включении сетевого фильтра, но не уменьшаются.
Может быть, сетевой брандмауэр DigitalOcean не работает?
Что мне не хватает?
Кто-нибудь наблюдает такую же ситуацию в своей инфраструктуре?
Порты, отображаемые в журнале, — это удаленные порты, из которых исходят соединения на удаленных IP-адресах, и не указывают, что эти порты прослушиваются на вашем сервере или через брандмауэр. Брандмауэр настроен в соответствии с вашим описанием, чтобы разрешить любому удаленному IP-адресу и порту подключаться к вашей капле через локальные порты 22, 80 и 443.
Ах... это порт, с которого было инициировано соединение... Я неправильно понял сообщения журнала... спасибо, что разъяснили это!