有谁知道是否可以在确定不允许数据包时配置 Windows 防火墙的行为?
默认情况下,它会以静默方式丢弃数据包,并且不会通知源发生了这种情况,从而导致在连接超时之前可能会在源处等待很长时间。对于给定的 TCP 连接,我想将 RST 数据包发送到已被禁止的传入 SYN 数据包,而不是默默地丢弃它。
我的一个 2K3 机器可以做到这一点,但我的 XP SP3 机器却没有。我的 XP SP3 笔记本电脑也曾经这样做过,但我的 Win7 笔记本电脑没有。
出现这种情况的原因是我经常需要通过 telnet 连接到几个基于 Linux 的内部机器(他们没有,我也不能安装,SSH),他们会在提供用户名之前尝试使用 ident 来识别我/密码提示。当我从 2K3 服务器连接时,提示是即时的,因为传入的 ident 数据包被主动阻止,但在我的 XP 机器上,我必须等待大约 20 秒,因为远程主机没有收到阻塞通知。这不是安全问题 - 一切都是本地的,绝不会暴露在互联网上,我在这些本地机器和 WAN 之间有 2 个防火墙。
我已经在这个主题上做了一些相当多的谷歌搜索,我找到的最接近这种行为的参考是这篇技术网文章,但它似乎直接与我在我的一个盒子上获得所需行为的事实相矛盾。它还不包含有关如何配置此类行为的信息,尽管在字里行间阅读我认为这是 TCP/IP 堆栈的功能,而不是 Windows 防火墙本身-似乎 TCP/IP 堆栈(NAT 驱动程序)要求防火墙是否允许数据包,然后自己处理操作。
在你问之前,不,2K3 盒子上绝对没有安装 3rd 方防火墙软件 - 我的旧笔记本电脑上也没有 - 它是/只是 Windows 防火墙。配置界面与我用来编写此问题的 XP 框的配置界面相同。我完全知道这很可能涉及使用注册表设置,但我不知道从哪里开始......
小智 5
原因 - http://technet.microsoft.com/en-us/library/dd448557%28WS.10%29
修复 - http://msdn.microsoft.com/en-us/library/ff720058%28v=prot.10%29.aspx
如果键/值不存在 - 创建它。修改后需要重启windows防火墙服务。
| 归档时间: |
|
| 查看次数: |
6755 次 |
| 最近记录: |