DigitalOcean网络防火墙允许仅在22个端口上进行SSH连接

Question

我在DigitalOcean上有一个液滴，启用了IPv4和IPv6。水滴位于数字海洋网络防火墙的后面，有以下规则：

入境：

• SSH 22全IPv4全IPv6
• HTTP 80全IPv4全IPv6
• HTTP 443全IPv4全IPv6

出站：

• ICMP全IPv4全IPv6
• 所有TCP，TCP，所有端口，所有IPv4，全IPv6
• 所有UDP所有端口都是IPv4

我的理解和期望是，这将阻止在端口22以外的所有ssh尝试。但是，在系统日志中检查sshd单元时。我看到以下条目：

2022-12-29 03:00:32 Disconnected from invalid user antonio 43.153.179.44 port 45614 [preauth]
2022-12-29 03:00:32 Received disconnect from 43.153.179.44 port 45614:11: Bye Bye [preauth]
2022-12-29 03:00:31 Invalid user antonio from 43.153.179.44 port 45614
2022-12-29 02:58:37 Disconnected from invalid user desliga 190.129.122.3 port 1199 [preauth]
2022-12-29 02:58:37 Received disconnect from 190.129.122.3 port 1199:11: Bye Bye [preauth]
2022-12-29 02:58:37 Invalid user desliga from 190.129.122.3 port 1199

还有更多的这些线路，这意味着防火墙不会阻塞22以外的端口上的ssh连接。

下图显示了在最后一小时内到22以外端口的ssh连接数。启用网络筛选器可以减少连接，但它们不会减少。

会不会是DigitalOcean的网络防火墙坏了？

我遗漏了什么？

有人在他们的基础设施上看到同样的情况吗？

Answer 1

服务在某些端口上侦听，例如默认情况下端口22上的sshd。这意味着，如果有ssh客户端请求在端口上建立连接，而不是22，则sshd服务根本不会听到。对于此请求，sshd的日志文件中将没有跟踪。在这种情况下，请求实际上是在端口22上发出的。Invalid user antonio from 43.153.179.44 port 45614实际上是什么意思？

1. 有ssh客户端请求以用户antonio的身份进行连接，这在系统中不存在。
2. 请求来自IP地址43.153.179.44。
3. 用于连接的ssh客户机的端口号是45614，它是客户端的端口号，而不是您的液滴上的端口号。

会不会是DigitalOcean的网络防火墙坏了？

这是不太可能的。

Answer 2

首先，ssh守护进程不是在监听任何端口，而是监听22。所以没有人可以在不同于端口22的端口上连接到它。要使连接成功，必须经过防火墙的允许，并且必须有某种东西等待接收数据包--用技术术语来说，就是监听端口上的数据包。

此外，防火墙可能不会查看数据包中的内容。它只使用端口号，22是ssh的保留端口，因此它显示它允许ssh。

TCP连接由四个标识符组成：

1. 源IP
2. 源端口
3. 目的IP
4. 目的端口

日志中显示的端口和IP是源IP和源端口。这就是所谓的临时端口，它被随机分配给一个进程，希望建立一个外向的连接。