TFTPはローカルホストで機能しますが、グローバルでは機能しません

Question

Centos7.4にTFTPサーバーがあります。 TFTPサーバーは稼働しており、ローカルホストに接続してファイルにアクセスしようとすると正常に機能します。ただし、別のサーバーからTFTPサーバーにアクセスしようとすると、タイムアウトになります。

ファイアウォールが正しく構成されており、ポートにアクセスできます。

cat /etc/xinetd.d/tftp

service tftp { socket_type = dgram protocol = udp port = 69 wait = yes user = root server = /usr/sbin/in.tftpd server_args = -s /tftpboot disable = no per_source = 11 cps = 100 2 flags = IPv4 }

cat /etc/xinetd.conf

defaults { log_type = SYSLOG daemon info log_on_failure = Host log_on_success = PID Host DURATION EXIT cps = 50 10 instances = 50 per_source = 10 v6only = no groups = yes umask = 002 } includedir /etc/xinetd.d

同じマシンからのlocalhostを使用したTFTPアクセス：

[root@tftp-001 ~]# tftp -v localhost -c get dir.txt Connected to localhost (::1), port 69 getting from localhost:dir.txt to dir.txt [netascii] Received 11 bytes in 0.0 seconds [3093 bit/s]

別のコンピュータを使用したTFTPアクセス：

[root@pbx-001 ~]# tftp -v 51.15.xxx.yy -c get dir.txt Connected to 51.15.xxx.yy (51.15.xxx.yy), port 69 getting from 51.15.xxx.yy:dir.txt to dir.txt [netascii] Transfer timed out.

tail -F/var/log/messages localhostからアクセスする場合は次の行が表示されますが、別のマシンからアクセスする場合は何も表示されません。

Oct 21 09:44:55 pbx-001 in.tftpd[11986]: Client ::1 finished dir.txt

他のマシンからポートスキャンを実行しようとしましたが、ポートにアクセスできて開いているようです。

[root@pbx-001 ~]# nmap -sU -p 69 51.15.XXX.YY Starting Nmap 6.40 ( http://nmap.org ) at 2017-10-21 09:47 UTC Nmap scan report for ZZZZZZZZZZZZZZZZZZZZZZZZ (51.15.XXX.YY) Host is up (0.00068s latency). PORT STATE SERVICE 69/udp open|filtered tftp Nmap done: 1 IP address (1 Host up) scanned in 0.55 seconds

また、firewalldをオフにしようとしましたが、まだこの問題があります。

さまざまな国やオフィスに数百台のCisco電話をセットアップするには、ネットワーク外の任意のコンピュータからTFTPサーバにアクセスできる必要があります。

マシン上でSSH、HTTPなどに接続できますが、問題はありません。実際には、TFTPの問題です。

EDIT 1： iptables -L -n -vの出力は次のとおりです：[root @ tftp-001〜] ＃iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 13425 5433K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 249 14891 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 351 19544 INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0 351 19544 INPUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0 351 19544 INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0 3 117 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 221 12353 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-Host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 FORWARD_direct all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FORWARD_IN_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FORWARD_IN_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FORWARD_OUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FORWARD_OUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-Host-prohibited Chain OUTPUT (policy ACCEPT 14168 packets, 1284K bytes) pkts bytes target prot opt in out source destination 14168 1284K OUTPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD_IN_ZONES (1 references) pkts bytes target prot opt in out source destination 0 0 FWDI_public all -- + * 0.0.0.0/0 0.0.0.0/0 [goto] Chain FORWARD_IN_ZONES_SOURCE (1 references) pkts bytes target prot opt in out source destination Chain FORWARD_OUT_ZONES (1 references) pkts bytes target prot opt in out source destination 0 0 FWDO_public all -- * + 0.0.0.0/0 0.0.0.0/0 [goto] Chain FORWARD_OUT_ZONES_SOURCE (1 references) pkts bytes target prot opt in out source destination Chain FORWARD_direct (1 references) pkts bytes target prot opt in out source destination Chain FWDI_public (1 references) pkts bytes target prot opt in out source destination 0 0 FWDI_public_log all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FWDI_public_deny all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FWDI_public_allow all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 Chain FWDI_public_allow (1 references) pkts bytes target prot opt in out source destination Chain FWDI_public_deny (1 references) pkts bytes target prot opt in out source destination Chain FWDI_public_log (1 references) pkts bytes target prot opt in out source destination Chain FWDO_public (1 references) pkts bytes target prot opt in out source destination 0 0 FWDO_public_log all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FWDO_public_deny all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 FWDO_public_allow all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FWDO_public_allow (1 references) pkts bytes target prot opt in out source destination Chain FWDO_public_deny (1 references) pkts bytes target prot opt in out source destination Chain FWDO_public_log (1 references) pkts bytes target prot opt in out source destination Chain INPUT_ZONES (1 references) pkts bytes target prot opt in out source destination 351 19544 IN_public all -- + * 0.0.0.0/0 0.0.0.0/0 [goto] Chain INPUT_ZONES_SOURCE (1 references) pkts bytes target prot opt in out source destination Chain INPUT_direct (1 references) pkts bytes target prot opt in out source destination Chain IN_public (1 references) pkts bytes target prot opt in out source destination 351 19544 IN_public_log all -- * * 0.0.0.0/0 0.0.0.0/0 351 19544 IN_public_deny all -- * * 0.0.0.0/0 0.0.0.0/0 351 19544 IN_public_allow all -- * * 0.0.0.0/0 0.0.0.0/0 48 2953 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 Chain IN_public_allow (1 references) pkts bytes target prot opt in out source destination 77 4004 ACCEPT tcp -- * * [MY_HOME_IP] 0.0.0.0/0 tcp dpt:80 ctstate NEW 2 117 ACCEPT tcp -- * * [MY_HOME_IP] 0.0.0.0/0 tcp dpt:22 ctstate NEW 0 0 ACCEPT udp -- * * [MY_HOME_IP] 0.0.0.0/0 udp dpt:69 ctstate NEW Chain IN_public_deny (1 references) pkts bytes target prot opt in out source destination Chain IN_public_log (1 references) pkts bytes target prot opt in out source destination Chain OUTPUT_direct (1 references) pkts bytes target prot opt in out source destination [root@tftp-001 ~]#

*編集2 * GUIとして「firewall-cmd」を使用しています。これはfirewall-cmd --zone = public --list-allの出力です。

[root@tftp-001 ~]# firewall-cmd --zone=public --list-all public target: default icmp-block-inversion: no interfaces: sources: services: dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="[MY_HOME_IP]" port port="80" protocol="tcp" accept rule family="ipv4" source address="[MY_HOME_IP]" port port="22" protocol="tcp" accept rule family="ipv4" source address="[MY_HOME_IP]" port port="69" protocol="udp" accept

MadHatter · Answer

現時点では、ファイアウォールルールにより、サーバー自体（ループバック、INPUTルール2経由）および79.137.39.26（IN_public_allowルール3経由）からのTFTP（UDPポート69）接続が許可されています。試行しているクライアントのIPアドレスは指定しませんが、ceteris paribusそのIPである可能性は40億分の1にすぎません（そのルールのパケット数がゼロの場合、それよりも少ないかもしれません）。

ルールを追加して、許可するルールを追加してみてくださいall TFTPトラフィック（次のような）

iptables -I INPUT 1 -p udp --dport 69 -j ACCEPT

それが役立つかどうかを確認します。

ルールを追加して、許可するルールを追加してみてくださいall TFTPトラフィック（次のような）

iptables -I INPUT 1 -p udp --dport 69 -j ACCEPT

それが役立つかどうかを確認します。

hugo · Answer

将来の読者のために：これは実際には、tftpサーバーからの応答をブロックするステートフルファイアウォールを持つクライアントに関連している可能性があります。ファイアウォールは、応答を確立された接続または関連する接続として認識しないため、ドロップ/ブロックします。

Yatana Yori · Answer

CentOS7.7でもこの問題が発生しました。

しかし、問題自体は（私の知る限り）CentOSに関連しているようには見えません。

この問題は、RHEL tftp-server5.2-22がリリースされたときに表面化しました。 5.2-13に戻すと、問題が修正されました。

他の人の場合、ダウングレードするには、次を使用します。

yum refresh tftp *
rpm -ivh ftp://ftp.pbone.net/mirror/ftp.scientificlinux.org/linux/scientific/7.3/x86_64/os/Packages/tftp-server-5.2-13.el7.x86_64.rpm