Брандмауери повинні відповідати ICMP-повідомленням, коли вони блокують запит. Однак це не обов’язково так (вам буде цікава ця приємна стаття ).
Ви можете тестувати ззовні, щоб побачити, чи доступ до порту доступний через брандмауер, і якщо так, чи слухає його. Ось три різні сценарії, пов’язані із запитом tcp, який ви можете спостерігати за допомогою wireshark
або іншим sniffer пакетів, і що ви побачите:
1) Брандмауер відхиляє запит
Ви отримуєте повідомлення ICMP назад, і інструмент, що подає запит, повинен негайно повідомити вам щось про це ("недоступний, адміністратор заборонений" тощо). Під "інструментом" я маю на увазі клієнта, якого ви використовуєте для надсилання запиту (я використовував telnet
). Деталі повідомлення 1 залежать від налаштування брандмауера, але "порт недоступний", мабуть, є найбільш поширеним.
"Жоден маршрут до хоста" не може вказувати на це, але він може також вказувати на більш тонкі проблеми маршрутизації.
2) Брандмауер скидає пакет
Відповіді немає, тож засіб чекає, поки він вичерпається або вам нудно.
3) Брандмауер дозволяє пакетно (або немає брандмауера), але нічого не слухається на порту.
Ви отримуєте повідомлення TCP RST / ACK назад. Я припускаю, що цього вимагає протокол TCP. Іншими словами, якщо нічого не прослуховується на порту, ОС сама надсилає цю відповідь. Це може бути важко відрізнити це від №1 лише на основі того, про що повідомляє інструмент, оскільки він може сказати те саме, що і в обох випадках (однак, швидше за все, це розрізняють як "відмовлено в з’єднанні" проти №1, "недоступна мережа" ). Сценарій №1 (повідомлення про відхилення ICMP) та №3 (TCP RST / ACK повідомлення), що спостерігається у сніфтері пакетів на клієнтській машині, чітко відрізняються.
Єдиний інший варіант тут - це те, що пакет пропускається через брандмауер і щось слухає, тож ви отримуєте успішне з'єднання.
Іншими словами: якщо припустити, що ваша мережа взагалі працює належним чином, якщо ви отримаєте номер 1 або №2, це означає, що брандмауер активно перешкоджає доступу до порту. # 3 відбудеться, якщо ваш сервер не працює, але порт доступний, і звичайно (неявна) №4 є вдалим з’єднанням.
- Наприклад, "порт недоступний", "хост заборонений", різні інші комбінації хост / порт / адміністратор і недоступні / заборонені ; шукайте їх у повідомленні, оскільки вони є явним вказівкою IP брандмауера.
nc
звіти "Відмовлено у відключенні", коли порт доступний, але слухача немає, і "Мережа недоступна", коли запит відскочив брандмауер через icmp (тобто може бути або не може бути послуга на порту ). Якщо брандмауер скидає пакет замість того, щоб фактично його відхилити,nc
він просто затримається на деякий час.