ncでホストへのルートはありませんが、pingできます


18

ある仮想マシンから別の仮想マシンにnetcatでポート25に接続しようとしてno route to hostいますが、pingはできますが、それは私に言っています。ファイアウォールのデフォルトポリシーをドロップするように設定していますが、その特定のサブネット上のポート25のトラフィックを受け入れる例外があります。ポート25でVM 3からVM 2にncで接続できますが、VM 2から3には接続できません。

VM2のファイアウォールルールのプレビューを次に示します

スクリーンショット

VM 3のファイアウォールルールのプレビューを次に示します

スクリーンショット

リスニングサービスを表示*:25すると、すべてのipv4 ipアドレスと:::25ipv6アドレスをリッスンしていることになります。エラーがどこにあるのか、なぜ機能していないのかがわかりません。両方のファイアウォールルールがポート25のトラフィックを受け入れるため、接続されているはずです。両方の違いを比較して、なぜvm3からvm2に接続できるのかを確認しようとしましたが、構成はすべて同じです。何が問題になる可能性がありますか?

更新してiptableサービスを停止すると問題は解決しますが、それらのルールが存在する必要があります。


4
可能な場合はスクリーンショットを避けてください。代わりに、質問を編集して、端末テキストをコピーして貼り付けてください。ありがとう。
xhienne

回答:


21

あなたのno route to hostマシンがping-ことができているときに(すなわちICMPメッセージだけではなく、DROPのpingで)丁寧にアクセス拒否するファイアウォールのサインです。

あなたのREJECTラインを参照してください?それらは説明と一致します(ICMP xxxを使用した拒否)。問題は、一見(#)のキャッチオールREJECT行がルールの途中にあるため、次のルールがまったく実行されないことです。(#)これらが実際のキャッチオール行である場合、言うのは難しいので、の出力iptables -nvLが望ましいでしょう。

これらの拒否ルールを最後に配置すると、すべてが期待どおりに機能するはずです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.