Hallo Hilmar,
On Fri, Jun 14, 2024 at 23:52:51 +0200, Preuße, Hilmar wrote:
gegeben sind 3 Linux-Server auf Redhat8 (virtuelle Maschinen, ob VMWare oder KVM kann ich auf Anhieb nicht sagen). Alle Maschinen stehen topologisch (IPv4) im selben Netz (CIDR /24). Folgendes Verhalten:
TCP von ServerA -> TCP/5665 ServerC -> TCP Connect OK TCP von ServerB -> TCP/5665 ServerC -> Connection refused
Funktioniert es, wenn ServerC die Verbindung zu ServerA oder ServerB aufbaut? Falls ja, riecht es schon sehr nach einer Firewall.
Selbes Verhalten auf TCP/22. Die Host FW auf ServerC ist angeblich down (prüfen kann ich das nicht [kennt jemand eine Methode, wie ich das als non-root testen kann?]). Man verweist mich jetzt auf ein mgl. Netz-FW, aber FW's funktionieren doch nur über Netz-Grenzen, also müßten die 3 Kisten in unterschiedlichen Netzen stehen, um eine FW zum Einsatz zu bringen.
Es existiert auch Filtering auf Bridge-Ebene (also Layer 2), damit ist eine Firewall durchaus im gleichen Netzwerksegment moeglich. Wenn der Host die VMs durch eine Bridge verbindet, kann er darauf auch filtern.
Jemand eine Idee, was hier los sein könnte?
Ohne root-Rechte auf den Maschinen und ohne das Netz auf dem Host zu kennen, wird es schwierig. Non-root Accounts auf allen drei Servern hast Du aber?
Du koenntest versuchsweise auf IPv6 ausweichen. Wenn tatsaechlich auf ServerC oder auf dem Host Packet Filtering betrieben wird, dort aber nur IPv4 betrachtet wird, dann sollte die Kommunikation ueber IPv6-Adressen nicht eingeschraenkt sein.
Praktischerweise muss man im gleichen Netzwerksegment keine IPv6-Adressen konfigurieren. Die Link-Local Adressen (Praefix fe80) werden automatisch vom IPv6-Stack vergeben und sind meistens aus der MAC-Adresse des Interfaces abgeleitet.
Bei der Benutzung einer Link-Local Adresse muss das jeweilige Interface mit angegeben werden, hier als Beispiel ein ssh-Aufruf:
ssh username@fe80::5054:1ff:fe28:d5ac%eth0
Gruss, Christian