具有此功能的路由器上涉及端口阻塞的路由器内部的具体物流。
即,当您阻止路由器上的任何端口时(不谈论节点软件防火墙规则),路由器是否仅在 WAN 上阻止端口(?)还是也阻止从任何本地节点到其他本地节点(LAN)的流量。
即,如果端口没有被本地节点上的阻止保护监听服务或应用程序监控,那么您可以阻止路由器上的端口(输出、输入或两者)但仍可以在本地局域网内通过相同的端口进行通信吗?
假设我的路由器在本地是 192.168.1.1,并且 192.168.1.4 处的节点向 TCP 和 UDP 端口 135 ~ 138 或 445 中的任何一个发送请求,并且这些端口在路由器上被阻止,它们是否仍然能够到达任何本地节点?
我之所以问这个问题,是因为我以前在这里和其他地方读到过,“大多数”消费级路由器都有一个用于 LAN 端口的交换机,该交换机连接到该交换机和 WAN 端口之间的路由硬件。因此,从本质上讲,路由器并不控制指向另一个 Lan 节点的数据包的路由。
如果是这样,那么当然就存在一个问题,这是制造遵守规则吗,还是“大多数”路由器不会通过端口阻止来阻止 LAN 交换机?
答案1
您的术语是错误的(使您的问题听起来毫无意义)。没有“节点软件防火墙”这样的东西 - 我想知道您指的是“在计算机/非路由器设备上运行的软件”。还有一个问题是您所说的路由器是什么意思。从您问题的上下文来看,我假设第一部分您指的是典型的家庭/小型办公室路由器 - 通常带有 WAN 端口和 4 个 LAN 端口。
这些路由器可以看作是有效地由一个 2 端口路由器和一个用于 LAN 侧的内置交换机组成(或者一个 2 端口路由器,其 LAN 侧连接到外部交换机),因此 TCP 和 UDP 端口 135 ~ 138 或 445 不会被路由器阻止。
要回答您关于“遵守规则,还是只是“大多数”路由器不会通过端口阻止来阻止 LAN 交换机?”的问题,这取决于您如何定义路由器 -
严格来说,路由器是一种在网络之间转发数据包的设备,因此任何路由器都会像上面那样工作。但是,还有其他设备(如“第 4 层交换机”和防火墙)可以拦截端口之间的数据包(即使数据包只是在端口之间交换而不是路由),并且可以管理/防火墙端口之间的流量。我不会将这些设备称为路由器。
此外,许多路由器(甚至是 4 端口 SOHO 路由器)都可以配置为以这种方式运行 - 尽管难度很大并且性能会受到影响。
公平地说,大多数路由器不会在 LAN 上设置防火墙,因为大多数使用情况都不会从此功能中受益,而且这会大大增加正确执行此操作的成本。(他们可能需要首先考虑使用 x86 处理器,而不是使用低功耗 ARM 处理器,因此硬件成本将是其 5-15 倍)。
答案2
TCP/IP 有一个概念插座- 即 IP 地址加端口号合为一个单元。因此 192.168.1.99:53 与 8.8.8.8:53 不同,两者可以同时存在而不会发生冲突。
“阻塞端口”可以有两层含义:
数据包过滤器可以处理接口上的流量,在应用程序看到之前删除不需要的流量。它可以存在于本地系统或路由器上,也可以存在于一个、多个或所有接口上,具体取决于数据包过滤器是什么以及它的工作方式。
如果您的路由器配置为不将其在面向 Internet 的接口 (WAN) 上接收的流量转发到 LAN 中的任何位置,有些人可能会使用“阻止端口”这个措辞来指代这种情况。
所以:
是的,您的路由器可以接收流量并自行处理,而无需转发回 LAN。如果您在路由器上启用远程管理,它会有一个小型 Web 服务器,接受 80 或 443 上的请求,自行处理这些请求,并做出响应,而无需在本地 LAN 上发送任何内容。
是的,可以设置您的路由器将特定端口上的传入流量转发到具有特定 IP 的设备,但该设备不会响应,因为本地数据包过滤器阻止了流量。
是的,由于数据包过滤器首先对流量执行其工作,因此路由器上的接口可能不会响应来自 LAN 或 WAN 的流量。
许多家用路由器都是基于 Linux 的,Linux 有一个名为的功能,iptables可以进行数据包过滤。iptables如果路由器正在运行ssh或并且有可用的二进制文件,您可以直接修改配置,许多路由器都有。大多数路由器的管理界面可能会根据特定设置在内部telnet更改规则。iptables