双行合一TCP三次握⼿与防⽕墙规则
⼀个(tct)socket连接需要在客户端与服务端开启⼀个隧道,客户端提供⼀个端⼝(new时可指定,也可不指定,随机),服务端的端⼝和地址⼀定要指定。
在win下,服务端创建监听端⼝时,防⽕墙会提⽰阻⽌,这时要解除这个端⼝的阻⽌才能让客户端连接。
客户端连接时,由于windows防⽕墙不过滤所有的主动请求,所以不会被防⽕墙阻⽌(ftp例外),但是在tcp三次握⼿的第⼆次,服务端响应的syn和ack相当于服务端连接客户端,此时防⽕墙是否会阻⽌第⼆次握⼿?待验证神牛谷
查资料感觉第⼆次握⼿不会被过滤
在linux下,iptables也有output链,⽤来过滤主动请求,那么output默认是什么样的呢?如果不阻⽌output,主动请求发出去之后,第⼆次握⼿会不会被防⽕墙的input链过滤呢?
邵式平IPTABLES默认策略为:
/etc/sysconfig/iptables
老的反义词是什么
锅英文
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
溶剂热法:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-
A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
详解:
:INPUT ACCEPT [0:0]
# 该规则表⽰INPUT表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表⽰FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 该规则表⽰OUTPUT表默认策略是ACCEPT
工程造价实习总结
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进⼊的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建⽴的链接状态。RELATED:该数据包与本机发出的数据包有关。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何⼀条规则的数据包。并且发送⼀条host prohibited的消息给被拒绝的主机。
-A INPUT -i lo -j ACCEPT
-i 参数是指定接⼝,这⾥的接⼝是lo ,lo就是Loopback(本地环回接⼝),意思就允许本地环回接⼝在INPUT表的所有数据通信。
有⾮默认规则时,默认规则会失效,即上⾯默认策略中,FORWARD ACCEPT[0:0]与INPUT ACCEPT[0:0]会⽆效
小水桶
其实也不算会失效,只是拦截规则是有优先级的,下⾯的优先级较⾼,所以拦截之后上⾯的就⽆效了。
以及根据上⾯的规则可以看出来,三次握⼿请求和防⽕墙规则并不冲突,防⽕墙不会因为是第⼆次握⼿就会放⾏(当然不同防⽕墙有可能会
不⼀样),这⾥的默认策略是放⾏第⼆次握⼿,以及默认的ACT包(仅仅ACT位为1的包)都会被防⽕墙放⾏,不管是什么防⽕墙。更新:真坑,Ubuntu开启ufw之后,默认拦截了所有的input,包括第⼆次握⼿,我去。。。