Bei der Verbindung zu Home -PCs "filtriert" der Status des Ports "gefiltert". Gründe und Lösungen.

Ситуация: при подключении к домашней сети извне, невозможно подключиться к хосту (машине), состояние портов "Filtered".

Was bedeutet der Zustand des gefilterten Ports?

Bei der Ausführung eines Befehls mit Localhost Home funktioniert alles.
Bei der Ausführung der Verbindung von außen antworten die Ports nicht (Sie können sich nicht mit ihnen verbinden):
Sie können die Ursache auf dem Bildschirm mit der Schlüssel anzeigen -reaSohn

nmap -Pn 192.168.73.14 -p 5900 --reaSohn

Grund Nr. 1. Falsches Routing

In meinem Fall erfolgt die Verbindung zum Heimnetzwerk über das Home VPN und die Verbindung ist erfolgreich. Zum Beispiel ist ein Home -Router von der Arbeit erhältlich, um sie zu verwalten.

Symptome.

Nach der Verbindung zu einem Heim -VPN ist ein Router im Heimnetzwerk unter xxx.xxx.xxx.1 verfügbar, aber ein arbeitender Personalcomputer (Workstation) mit der Adresse xxx.xxx.xxx.2 reagiert nicht auf Ping und funktioniert nicht über SSH, VNC und RDP.

Diagnostik

Zuerst mit dem Heimnetzwerk verbunden und dann die Verbindung und das Routing überprüfen

ping 192.168.1.2 # IP адрес целевого (удалённого) ПК

Es muss eine Antwort geben

sudo tracerOute 192.168.1.2 # IP -Adresse des Ziels (Remote) PC

Der Pfad sollte von allen drei Knoten sehr kurz sein, zum Beispiel:

Sudo tracerOute 192.168.1.4
Traceroute to 192.168.1.4 (192.168.1.4), 30 hops max, 60 byte packETS
1 192.168.1.1 (192.168.1.1) 22.207 ms 23.414 ms 23.587 mS.
2 192.168.1.4 (192.168.1.4) 25.000 ms 24.978 ms 25.004 mS.

Lösung
Auf dem PC, von dem die Verbindung zum VPN eingeleitet wird, müssen Sie die Route_ im ROUTER im örtlichen Zielnetzwerk in den VPN -Parametern anschließen.
НапRimer, wenn das Zielnetzwerk 192.168.1.0, der Router 192.168.1.1 ist und der Ziel -PC eine IP -Adresse 192.168.1.2 hat, müssen Sie die Route vom ArbeitspC auf dem Ziel 192.168.1.2 über den Gateway 192.16.1.1 konfigurieren. Dies geschieht in Netwo -Einstellungenrk Manager - Параметры соединений - Параметры IPv4 - Маршруты...


Angegeben:

• Adresse - IP -Adresse des PCs im Netzwerk, mit dem wir über VNC / RDP / SSH eine Verbindung herstellen. Zum Beispiel 192.168.1.2
• Mask Subnetz - 255.255.255.0
• Das Gateway ist eine IP -Adresse des Routers im Zielnetzwerk. Zum Beispiel 192.168.1.1
• Metrik 1

Überprüfen Sie die Ping- und T -BefehleracerOUTEs passt auch die Verbindung zu X11 über VNC und RDP.

Grund Nr. 2: UWF -Firewall verbietet die Verbindung zum PC

Sehen Sie sich die Liste der Genehmigungsregeln und Markenmäherverbots für eingehende Verbindungen an (zulassen, leugnen):

sudo ufw status numberEd

sudo ufw status numbered > ~/ufw_backUp.txt

Sie können die Firewall vorübergehend ausschalten, um die Verbindung ohne sie zu überprüfen:

sudo service ufw stop

Schalten Sie ein, wenn der Grund nicht in der Firewall liegt:

sudo ufw enable

Wenn es schade ist, installieren Sie die Firewall neu, sie kann entfernt werdenapt uwf purGe

sudo apt purGe ufw

sudo apt instaLl ufw

Dann stellen wir die Regeln manuell basierend auf einer Sicherungskopie der Liste der UFW_B -Regeln wieder herackUp.txt.
Zum Beispiel, um die Verbindung zu MySQL zu verbieten:

sudo ufw deny 3306/tcp

usw. ..

Grund Nr. 3: Falsche Setup iptables

Nach dem Entfernen der UFW -Firewall bleiben die Regeln in den Iptables bestehen, was überraschend ist.

Um die Iptables -Regeln anzuzeigen, müssen Sie den Befehl eingeben

sudo iptables -L

Detailliertere Informationen zu den Regeln:

sudo iptables -L -n -v

Wo
-L - Liste (Zeigen Sie eine Liste von Regeln auf dem Bildschirm an). Sie können -l mit der Bezeichnung der Regelnkette anrufen, die für Pakete gilt. Zum Beispiel:sudo iptables -L INPUT.
-n - numrIC (Zeigen Sie die Nummern der IP -Adressen und Ports im digitalen Format an)
-V - ausführlich (detaillierte Informationen)

Handbuch Hinzufügen von Genehmigungen:

sudo iptables -P INPUT ACCEPT
# sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

Zurücksetzen aller Iptables für den Eingangszweig

sudo iptables -F INPUT

Entfernen Sie alle Ketten der Regeln:

sudo iptables -X

Zähler zurücksetzen

sudo iptables -Z 

Entfernen von IPTables правил NAT, maNgle und roh

sudo iptables -t nat -f
sudo iptables -t nat -x
sudo iptables -t maNgle -f
sudo iptables -t maNgle -x
sudo iptables -t raW -f
sudo iptables -t raW -x

Installation der Iptables-, UFW- und GUFW -Regeln:

sudo apt purge iptables -y && sudo apt install iptaBles Ufw Gufw
sudo ufw enable

Prüfung:

sudo iptables -L

Die Regeln werden in den Anfangszustand gebracht.

sudo ufw status numberEd

Station: active

Die Regeln des Benutzers sind noch nicht.
(Sie können von UFW -Befehlen hinzugefügt werden, basierend auf einer Reservekopie der UFW_B -RegelnackUp.txt, wie oben geschrieben).

Grund Nr. 4: Nftables ist enthalten

Der Server kann von nftables installiert und gestartet werden:

cat /etc/nftaBles.conf

sudo service nftables staTus

Standardmäßig Regeln 3 Teile (Eingabe, forward и output), у сервиса nftables должен быть статус inactive (deaD).

Grund Nr. 5: Nicht eingeführte XRDP- oder X11VNC -Dienste

Auf dem Server, das ich verbinde, müssen Sie von Localhost die Ports überprüfen, die die Dienste anhören:

sudo netstat -plnt

Port 22 - SSHD
Port 3389 - RDP
Port 5900 - VNC

Muss im Hören sein. Wenn nicht, überprüfen Sie den Status der relevanten Dienste

sudo service sshd staTus
sudo service xrdp staTus
sudo service x11vnc staTus

Grund Nr. 6. Zwischengeschoss und Verkehrsfilterung

Wenn am Home -Router Ports von Ports verwendet werden, aber auf dem Pfad des Verkehrs ein weiterer Router mit der Firewall enthalten, kann es Anforderungen oder Antwortpakete auf bestimmte Ports filtern.
Lösungen: Verwenden Sie nicht -Standard -Portnummern auf einem Heimrouter oder einer stärkeren Lösung - Datenverkehr an die Pfeife senden.

Grund Nr. 7. Verschiedene Routen zu verschiedenen Gastgebern

Die Unzugänglichkeit kann mit einem Missverständnis von Routen verbunden sein.

Standardmäßig

• Der gesamte Verkehr auf ein öffentliches Internet führt einen funktionierenden Router durch, ohne sich in einen Tunnel einzuwickeln. MarShrut 1.
• Nur der Verkehr zum Heimnetz geht in den Tunnel. MarShrut 2., usw.

• Außerdem kann sich die IP -Adresse des Heimnetzwerks mit der grauen IP -Adresse eines anderen Anbieter -Clients überschneiden. Das heißt, Ihr Host von 192.168.73.1 kann im Internet des Internetanbieters existieren. Prüfen - tracerOut.

  FORTER -Einstellungen Sie können nach der Verbindung mit dem Heimnetzwerk die Verpackung des gesamten Verkehrs im Tunnel sicherstellen.

Es gibt Zyxel Keenetik für Router Dokumentation auf der Website -Unterstützung für Keenetik -Router).

Notiz. Wenn ICMP Antworten auf Home Server verboten ist, müssen sie zulässig sein:

sudo nano /etc/Sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
sysctl -p

Die Quelle dieses Rates ist eine Seite andreyex.ru - Как заблокировать или разблокировать запросы ping на Ubuntu Server 20.04 LTS на сайте andreyex.ru.

Auf einem WI -FI -Router müssen die ICMP -Antworten des Ping -Teams nicht verbieten - standardmäßig zulassen ICMP F erlaubenrom LAN.

/Ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmP.

& nbsp;

Quellen:

• IPT -Dokumentationables.
• Dokumentation Keenetik

& nbsp;

Data der letzten Änderung: 04/22/2025