如果我在 Windows 防火墙中阻止了一个端口,然后尝试从另一台 PC 连接到该端口,我应该在 Wireshark 中看到什么?
在运行 wireshark 时目的地机器(由于没有更好的术语,所以叫“服务器”),我应该看到:
- 没有入站或出站连接(这是我对硬件防火墙的期望)
- 有入站连接尝试,但没有出站连接
目前我看到的是#2 – 我可以看到入站连接尝试,但我从未看到来自机器的任何响应。
这应该是预期的行为吗?
答案1
Wireshark 在哪里运行,在目标机器上还是在源机器上?如果它在源机器上运行,我期望看到与 #2 中的行为一样的行为。您应该在 Wireshark 中看到来自源机器的传出连接,但没有返回流量。我很好奇,Windows 防火墙在阻止传入连接时会发送 RST 吗?还是会默默地断开连接?
仔细想想,我可能也希望在目标计算机上看到与 #2 中的行为一样的行为,因为在 Windows 防火墙执行其工作之前必须启动传入连接。它无法阻止尚未到达目标计算机并达到第 3 层的连接。
答案2
我认为是这样。防火墙是操作系统内的软件。数据包仍然必须进入机器,通过网络堆栈向上冒泡,直到到达防火墙,此时数据包被接受并通过或被拒绝和阻止。我预料到了这种行为。
现在,如果 Internet 和您的机器之间存在防火墙,并且外部防火墙阻止了数据包,那么您在 Wireshark 中将看不到任何内容。
答案3
您应该会收到入站连接尝试,因为防火墙阻止了数据包,因此机器将不会响应该请求。