1. Windows端:确认Telnet客户端启用(cmd执行telnet,若提示无此命令,去「启用或关闭Windows功能」开启Telnet Client);
2. Windows ping Linux虚机,确认二层连通;
3. Linux端:查sshd监听(netstat -ntlp|grep sshd,需显示0.0.0.0:22);
4. Linux防火墙:firewall-cmd --list-all,确认22端口允许,或iptables规则未拦截Windows虚机IP;
5. Windows防火墙出站规则:放行TCP22端口访问。
核心原因大概率是Windows端Telnet客户端未启用,或Linux防火墙未允许Windows虚机访问22端口。
windows和linux是同网段还是跨网段?跨网段的话,中间是否有安全设备拦截。
同网段的
同网段的
问题描述:同宿主机内,Windows 虚拟机无法访问 Linux 虚拟机的 22 端口,Linux 之间互访正常
环境:H3C UIS / CVK 虚拟化平台,两台虚拟机位于同一物理主机。
现象:
Linux 虚拟机 → Linux 虚拟机:
telnet <Linux_IP> 22通Windows 虚拟机 → 同网段 Linux 虚拟机:
telnet <Linux_IP> 22不通
一、根因分析(按概率从高到低排序)
1. Linux 防火墙未放行 Windows 虚拟机的 IP 段(最常见)
Linux 防火墙规则中只允许同网段的 Linux 主机访问 22 端口,未包含 Windows 虚拟机的 IP 段。
或规则仅允许本机内核互通,拒绝虚拟化环境下的跨虚拟机二层访问。
典型系统:CentOS / Rocky / OpenEuler
2. SSH 服务未监听全网段地址(0.0.0.0:22)
SSH 仅监听
127.0.0.1或特定业务网卡 IP,未监听所有地址。
3. UIS 虚拟化层安全策略拦截(虚拟交换机 / 安全组 / ACL)
同宿主机虚拟机互通最易被虚拟化层阻断。
可能原因:
虚拟交换机端口组开启端口隔离
配置了入方向 ACL 拒绝 22 端口
Windows 与 Linux 虚拟机不在同一广播域或 VLAN
Linux 之间因二层互通策略能访问,但 Windows 被单独隔离
4. Windows 虚拟机自身问题(概率较低)
Windows 防火墙拦截出站或入站 22 端口
静态路由或网关配置错误,导致三层不通
二、快速排查步骤(建议按顺序执行)
第一步:基础连通性验证
在 Windows 虚拟机中执行:
ping 不通 → 优先检查虚拟交换机、VLAN、端口组、虚拟化隔离配置
ping 通,但 22 端口不通 → 继续后续步骤
第二步:检查 Linux 防火墙(最高优先级)
第三步:检查 SSH 监听地址
正常输出:
0.0.0.0:22异常输出:仅
127.0.0.1:22或特定业务 IP
修复方法:
第四步:检查虚拟化层安全策略
登录 UIS 管理平台,依次检查:
两台虚拟机是否在同一虚拟交换机、同一端口组
端口组是否开启端口隔离
是否存在入方向 ACL 拒绝 22 端口
Windows 与 Linux 虚拟机的广播域 / VLAN 是否一致
第五步:验证 Windows 自身配置
检查 Windows 防火墙是否拦截 22 端口
检查路由表是否正常(
route print)
三、结论与建议
| 条件 | 结论 |
|---|---|
| Linux 之间 22 端口互通正常 | Linux 服务(SSH)+ 本机防火墙基本可用 |
| Windows 访问 22 端口不通 | 99% 由以下两个原因之一导致: 1. Linux 防火墙未放行 Windows 虚拟机 IP 段 2. UIS 虚拟交换机端口隔离 / 安全组拦截 22 端口 |
建议优先执行:
关闭 Linux 防火墙进行测试(临时)
检查 UIS 平台中虚拟端口组的安全策略
这个问题很典型:Windows 虚拟机无法 telnet Linux 的 SSH 端口(22),但其他 Linux 虚拟机可以。这说明网络底层是通的(同主机、同网段),但访问被某个环节拦截了。常见原因及排查方法如下:
最可能的原因(按概率排序)
| 原因 | 说明 |
|---|---|
| 1. Linux 防火墙(iptables/firewalld)限制了来源 IP | 最典型。Linux 防火墙可能只允许特定网段或 IP(如仅允许其他 Linux 的 IP),而 Windows 的 IP 不在白名单内。 |
| 2. Windows 防火墙或安全软件拦截 | Windows 自带的防火墙或第三方杀毒软件可能阻止了 telnet 发出的出站连接。 |
| 3. Linux 上 SSH 服务配置了访问控制 | /etc/hosts.allow / /etc/hosts.deny 或 SSH 配置文件中的 AllowUsers / DenyUsers 限制了来源。 |
| 4. 虚拟交换机端口隔离 / 安全组策略 | 如果使用的是 VMware / KVM / Hyper‑V,虚拟交换机可能启用了“端口隔离”或“安全组”规则,禁止特定虚拟机之间的通信。 |
| 5. Windows 未开启 telnet 客户端 | 如果提示“不是内部或外部命令”,那是客户端未安装;但你说“不通”,通常指连接超时或被拒绝,所以这个可能性较低。 |
分步排查(从简单到复杂)
第一步:确认 Windows 到 Linux 的网络连通性
在 Windows 上执行:
通 → 跳过网络层问题,直接看端口/防火墙。
不通 → 检查 IP、掩码、网关、虚拟交换机 VLAN 设置。
第二步:确认端口是否真的被 Linux 监听且 Windows 能触达
在 Windows 上:
如果 Windows 发起的连接被 拒绝 或 丢包,日志里会有记录。
第三步:检查 Linux 防火墙规则
源地址限制(
-s 192.168.1.0/24之类)针对
eth0或特定接口的规则
临时测试:关闭 Linux 防火墙看是否恢复
第四步:检查 Linux 上 SSH 服务自身的访问控制
如果使用 VMware:检查虚拟交换机是否开启了“端口组安全策略”(如“MAC 地址更改拒绝”或“伪传输拒绝”)。
如果使用 KVM (libvirt):检查虚拟网络是否为
isolated模式,或 ebtables/iptables 规则是否插入了限制。如果使用 Hyper‑V:检查虚拟交换机是否启用了“启用 VLAN 标识”或“端口访问控制”。
为什么 Linux 到 Linux 的 SSH 是通的?
两个 Linux 虚拟机可能在同一防火墙信任区域(如
trusted),或者它们的 IP 都在防火墙规则的白名单内。而 Windows 的 IP 不在白名单中,或者 Windows 发出的包被防火墙视为来自不同区域(例如
public)而默认拒绝。
快速解决建议
首选:在 Linux 防火墙上显式允许 Windows 的 IP。
iptables -I INPUT -p tcp --dport 22 -s <Windows_IP> -j ACCEPT service iptables save # 持久化 # firewalld firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="<Windows_IP>" port protocol="tcp" port="22" accept' firewall-cmd --reload# iptables如果 Linux 防火墙关闭后仍不通:检查 Windows 防火墙(临时关闭测试),以及虚拟交换机隔离设置。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明