防火墙:为什么没有到主机的路由?

防火墙:为什么没有到主机的路由?

我的局域网有两个节点。其中一个运行 Fedora 并充当服务器,并捆绑了一些默认的防火墙配置。第二次运行拱门(但这应该没有任何区别)。

在 Fedora 系统上,我在端口 25025 上有一个 TCP 服务器。除非我配置了防火墙以允许该端口传入连接,否则 arch 主机上的 Java 软件会抛出 noroutetohost 异常,而在这种情况下,我预计连接会被拒绝。

为什么会这样呢?

答案1

iptables就安全性而言,通常有两种阻止流量的选项firewalldDROP数据包或REJECT数据包。

REJECT导致icmp-host-prohibitedICMP 数据包被发送回客户端,通知他们最终主机拒绝连接。这通常被您的应用程序描述为“连接被拒绝”。

DROP导致最终主机不发送任何事物返回以响应 TCP 连接请求。由于没有发回任何内容,因此在客户端看来,这与某个路由器刚刚丢失或丢弃的数据包相同。由于客户端通常会多次尝试建立连接,因此它会假设网络上的路由出现问题(在本例中技术上确实如此),并报告问题在于网络上路由数据包的问题。

因此,您的防火墙似乎只是丢弃数据包,而不选择发送 ICMP 数据包通知其他节点。

相关内容