Lors de la connexion aux PC domestiques, l'état du port a "filtré". Raisons et solutions.

Ситуация: при подключении к домашней сети извне, невозможно подключиться к хосту (машине), состояние портов "Filtered".]

Que signifie l'état du port filtré?

Lorsque vous effectuez une commande avec localhost home, tout fonctionne.
Lorsque vous effectuez la connexion de l'extérieur, les ports ne répondent pas (vous ne pouvez pas vous connecter à eux):
Vous pouvez afficher la cause à l'écran en utilisant la clé -reaFils

nmap -Pn 192.168.73.14 -p 5900 --reaFils

Raison n ° 1. Route incorrecte

Dans mon cas, la connexion au réseau domestique se produit via le VPN domestique, et la connexion est réussie. Par exemple, un routeur domestique est disponible à partir du travail pour les gérer.

Symptômes.

Après avoir été connecté à un VPN à domicile, un routeur est disponible dans le réseau domestique à xxx.xxx.xxx.1, mais un ordinateur personnel en activité (poste de travail) avec l'adresse xxx.xxx.xxx.2 ne répond pas au ping et ne fonctionne pas via SSH, VNC et RDP.

Diagnostics

D'abord connecté au réseau domestique, puis vérifiant la connexion et le routage

ping 192.168.1.2 # IP адрес целевого (удалённого) ПК

Il doit y avoir une réponse

sudo tracerOUTE 192.168.1.2 # Adresse IP du PC cible (distant)

Le chemin doit être très court, des trois nœuds, par exemple:

Sudo tracerOUTE 192.168.1.4
traceroute to 192.168.1.4 (192.168.1.4), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 22.207 ms 23.414 ms 23.587 mS.
2 192.168.1.4 (192.168.1.4) 25.000 ms 24.978 ms 25.004 mS.

Solution
Sur le PC, à partir de laquelle la connexion au VPN est initiée, vous devez connecter la route_ via le routeur dans le réseau local cible dans les paramètres VPN.
НапRimer, si le réseau cible est 192.168.1.0, le routeur 192.168.1.1, et le PC cible a une adresse IP 192.168.1.2, vous devez configurer l'itinéraire depuis le PC fonctionnel sur la cible 192.168.1.2 via la passerelle 192.16.1.1. Cela se fait dans les paramètres de network Manager - Параметры соединений - Параметры IPv4 - Маршруты...


Indiqué:

• Adresse - Adresse IP du PC dans le réseau auquel nous nous connectons via VNC / RDP / SSH. Par exemple, 192.168.1.2
• Mask Subnet - 255.255.255.0
• La passerelle est une adresse IP du routeur dans le réseau cible. Par exemple, 192.168.1.1
• Métrique 1

Vérification des commandes Ping et TracerLes passes de sortie, la connexion à X11 via VNC et RDP se produisent également.

Raison n ° 2: le pare-feu UWF interdit la connexion au PC

Affichez la liste des règles de permis et des interdictions de marque pour les connexions entrantes (permettez, nier):

sudo ufw status numberÉlégant

sudo ufw status numbered > ~/ufw_backUp.txt

Vous pouvez éteindre temporairement le pare-feu pour vérifier la connexion sans lui:

sudo service ufw stop

Allumez si la raison n'est pas dans le pare-feu:

sudo ufw enable

S'il y a une pitié, réinstallez le pare-feu, il peut être supprimé parapt uwf purGe

sudo apt purGe ufw

sudo apt instaLl ufw

Ensuite, nous restaurons manuellement les règles en fonction d'une copie de sauvegarde de la liste des règles UFW_BackUp.txt.
Par exemple, pour interdire la connexion à MySQL:

sudo ufw deny 3306/tcp

etc. ..

Raison n ° 3: Configuration incorrecte iptables

Après avoir retiré le pare-feu UFW, les règles des iptables restent, ce qui est surprenant.

Pour afficher les règles iptables, vous devez entrer la commande

sudo iptables -L

Des informations plus détaillées sur les règles:

sudo iptables -L -n -v

Où
-L - Liste (afficher une liste de règles à l'écran). Vous pouvez appeler -L avec la désignation de la chaîne de règles s'appliquant aux packages. Par exemple:sudo iptables -L INPUT.
-n - numrIC (Afficher les nombres d'adresses IP et de ports au format numérique)
-v - Verbose (informations détaillées)

Manuel d'ajout de permis:

sudo iptables -P INPUT ACCEPT
# sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

Réinitialiser tous les iptables pour la branche d'entrée

sudo iptables -F INPUT

Supprimer toutes les chaînes des règles:

sudo iptables -X

Réinitialiser les compteurs

sudo iptables -Z 

Retirer de l'IPTables правил NAT, maNgle et brut

sudo iptables -t nat -f
sudo iptables -t nat -x
sudo iptables -t maNgle -f
sudo iptables -t maNgle -x
sudo iptables -t raW -f
sudo iptables -t raW -x

Installation des règles iptables, UFW et GUFW:

sudo apt purge iptables -y && sudo apt install iptaBles ufw Gufw
sudo ufw enable

Examen:

sudo iptables -L

Les règles sont introduites dans l'état initial.

sudo ufw status numberÉlégant

Station: active

Les règles de l'utilisateur ne le sont pas encore.
(Ils peuvent être ajoutés par les commandes UFW, sur la base d'une copie de réserve des règles UFW_BackUp.txt, comme écrit ci-dessus).

Raison n ° 4: nftables est inclus

Le serveur peut être installé et lancé par NFTABLE:

cat /etc/nftables.conf

sudo service nftables staTus

Par défaut règles 3 pièces (entrée, forward и output), у сервиса nftables должен быть статус inactive (dead).

Raison n ° 5: non lancé des services XRDP ou X11VNC

Sur le serveur, je me connecte, depuis localhost, vous devez vérifier les ports qui écoutent les services:

sudo netstat -plnt

Port 22 - SSHD
Port 3389 - RDP
Port 5900 - VNC

Doit être en écoute. Sinon, vérification de l'état des services pertinents

sudo service sshd staTus
sudo service xrdp staTus
sudo service x11vnc staTus

Raison n ° 6. Hôtes intermédiaires et filtrage du trafic

Si des ports de ports sont utilisés sur le routeur domestique, mais sur le chemin du trafic, il y a un autre routeur avec le pare-feu inclus, il peut filtrer les demandes ou les packages de réponse à certains ports.
Solutions: utilisez des numéros de port non standard sur un routeur domestique ou une solution plus forte - Envoyez du trafic "au tuyau".

Raison n ° 7. Diverses routes vers différents hôtes

L'inaccessibilité peut être associée à un malentendu des itinéraires.

Par défaut

• Tout le trafic vers un Internet public passe par un routeur de travail sans emballer dans un tunnel. Marshrut 1.
• Seul le trafic vers le réseau domestique va dans le tunnel. Marshrut 2., etc.

• En outre, l'adresse IP du réseau domestique peut se croiser avec l'adresse IP grise d'un autre client fournisseur. Autrement dit, votre hôte 192.168.73.1 peut exister sur Internet de l'internet. Vérification - tracerOute.

  Paramètres de rocher Vous pouvez assurer l'emballage de l'ensemble du trafic dans le tunnel après vous être connecté au réseau domestique.

Il y a Zyxel Keenetik pour les routeurs Documentation sur le support du site pour les routeurs Keenetik).

Note. Si ICMP répond à la maison Server sont interdits, ils doivent être autorisés:

sudo nano /etc/Sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
sysctl -p

La source de ce conseil est une page andreyex.ru - Как заблокировать или разблокировать запросы ping на Ubuntu Server 20.04 LTS на сайте andreyex.ru.

Sur un routeur Wi -fi, il n'est pas nécessaire d'interdire les réponses ICMP de l'équipe de ping - par défaut Autoriser l'ICMP From LAN.

/ Ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmP.

& nbsp;

Sources:

• Documentation IPTables.
• Documentation Keenetik

& nbsp;

Data du dernier changement: 04/22/2025