神秘的防火墙？诊断受阻传入连接的检查表

Question

有许多软件防火墙和 DD-WRT 路由器功能可能会阻止传入连接。AP 隔离和禁用防火墙是我最先提出的两个建议。我的下一步是进一步检查路由器设置。我的直觉告诉我，如果您的笔记本电脑和台式机有有线连接，那么两者之间就可以正常工作。
一个用于系统地排除连接问题的绝佳工具是数据包嗅探器，例如 wireshark。此时，您正在猜测网络上正在发生什么。然后切换各种设置，希望确认猜测。既然可以亲眼看到，何必猜测呢？数据包捕获将为您提供正在发生的事情的实时读数。您可能会发现 TCP SYN 数据包从未到达服务器，或者它确实到达了服务器，但没有发出响应。或者，这可能是完全不同的问题，例如名称/ip/arp 解析问题。嗅探器本身无法解决任何问题，但它应该可以让您更好地了解现在正在发生的事情。

尝试解释数据包捕获一开始可能会有些令人生畏，请尝试专注于基础知识并忽略更复杂的部分。

编辑：现在您已经添加了数据包捕获截图，只是想跟进一下。发生的事情更加清晰。使用像 wireshark 这样的工具的挑战之一是了解协议应该看起来像。由于 HTTP 建立在正常的 TCP 连接之上，因此您在此处看到的是在端口 1515 上设置 TCP 连接的一系列失败。您看不到 HTTP 的原因是 TCP 连接在客户端和服务器之间的对话进行到这一步之前就失败了。我将通过前两次尝试的数据包编号向您介绍它：

数据包（204）.150 -> .151 [SYN]“您好，我想连接到端口 1515”

数据包（207）.151 -> .150 [RST，ACK]“未监听。这里没有端口 1515。关闭好吗？”

数据包（208）.150 -> .151 [SYN]“您好，我想连接到端口 1515”

数据包（209）.151 -> .150 [RST，ACK]“未监听。这里没有端口 1515。关闭好吗？”

ETC...

TCP 对话中的 RST 标志是强制关闭。它比正常结束对话的 FIN 标志更粗鲁。这通常意味着要么有防火墙阻止了端口 1515，要么没有任何东西在监听端口 1515。我更常见到 [RST, ACK] 来自没有服务监听该端口的服务器，而防火墙往往只是 RST 或黑洞（无响应）流量。

现在它已经正常工作了，请再进行一次捕获，以便您可以看到成功连接的样子。它应该是这样的：

.150 -> .151 [SYN] “您好，我想连接端口 1515”

.151 -> .150 [SYN，ACK]“已确认，这是我的缓冲区大小”

.150 -> .151 [ACK]“对我有用”

.150 -> .151 [ACK][HTTP/GET] “通过 HTTP 请求 html”

.151 -> .150 [ACK][HTTP/1.1 200 OK] “这是您请求的 html”

基于 TCP ACK 的一系列 HTTP 对话

.150 -> .151 [FIN]“感谢服务器，我已完成所有操作，请关闭连接”

.151 -> .150 [ACK, FIN]“我同意我们应该关闭连接”

Answer 1

有许多软件防火墙和 DD-WRT 路由器功能可能会阻止传入连接。AP 隔离和禁用防火墙是我最先提出的两个建议。我的下一步是进一步检查路由器设置。我的直觉告诉我，如果您的笔记本电脑和台式机有有线连接，那么两者之间就可以正常工作。
一个用于系统地排除连接问题的绝佳工具是数据包嗅探器，例如 wireshark。此时，您正在猜测网络上正在发生什么。然后切换各种设置，希望确认猜测。既然可以亲眼看到，何必猜测呢？数据包捕获将为您提供正在发生的事情的实时读数。您可能会发现 TCP SYN 数据包从未到达服务器，或者它确实到达了服务器，但没有发出响应。或者，这可能是完全不同的问题，例如名称/ip/arp 解析问题。嗅探器本身无法解决任何问题，但它应该可以让您更好地了解现在正在发生的事情。