Чому мої журнали sshd показують багато спроб недійсних портів?

Мій демон ssh налаштований на прослуховування на порту 2221. Я також відключив root вхід із ssh.

Я не розумію, чому auth.logя бачу спроби входу в інші порти (наприклад, з 4627 тут).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD повинен враховувати ці спроби. Чому журнали кажуть, що користувач / пароль не відповідають, тоді як він не повинен отримувати запит (неправильний порт)? Я щось пропускаю?

Журнали говорять вам:

Хтось із IP-адресою 218.10.19.134та з порту 4627кілька разів намагався увійти як root користувача з паролем. Але:

• користувальницький корінь все- invalidтаки є , журнали просто інформують вас про спроби входу
• спробуваним методом входу була passwordавтентифікація (не відкритий ключ чи щось інше)
• вихідний порт був 4627, порт призначення був 2221(не записується в журнали, оскільки sshd тільки слухає 2221, інші спроби інших портів sshd не помічають)
• після деяких спроб sshd заблокував вхід через disconnectingз'єднання tcp

Ви знайдете всі виділені слова моєї відповіді у своїх журналах, за винятком 2221.

Номер порту, вказаний у журналі, - це порт на стороні клієнта, а не на вашій.