一个(tct)socket连接需要在客户端与服务端开启一个隧道,客户端提供一个端口(new时可指定,也可不指定,随机),服务端的端口和地址一定要指定。
在win下,服务端创建监听端口时,防火墙会提示阻止,这时要解除这个端口的阻止才能让客户端连接。
客户端连接时,由于windows防火墙不过滤所有的主动请求,所以不会被防火墙阻止(ftp例外),但是在tcp三次握手的第二次,服务端响应的syn和ack相当于服务端连接客户端,此时防火墙是否会阻止第二次握手?待验证
查资料感觉第二次握手不会被过滤
在linux下,iptables也有output链,用来过滤主动请求,那么output默认是什么样的呢?如果不阻止output,主动请求发出去之后,第二次握手会不会被防火墙的input链过滤呢?
IPTABLES默认策略为:
/etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
详解:
:INPUT ACCEPT [0:0]
# 该规则表示INPUT表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT表默认策略是ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
-A INPUT -i lo -j ACCEPT
-i 参数是指定接口,这里的接口是lo ,lo就是Loopback(本地环回接口),意思就允许本地环回接口在INPUT表的所有数据通信。
有非默认规则时,默认规则会失效,即上面默认策略中,FORWARD ACCEPT[0:0]与INPUT ACCEPT[0:0]会无效
其实也不算会失效,只是拦截规则是有优先级的,下面的优先级较高,所以拦截之后上面的就无效了。
以及根据上面的规则可以看出来,三次握手请求和防火墙规则并不冲突,防火墙不会因为是第二次握手就会放行(当然不同防火墙有可能会不一样),这里的默认策略是放行第二次握手,以及默认的ACT包(仅仅ACT位为1的包)都会被防火墙放行,不管是什么防火墙。
更新:真坑,Ubuntu开启ufw之后,默认拦截了所有的input,包括第二次握手,我去。。。