我有两个节点的局域网。一个运行 Fedora 并充当服务器,并捆绑了一些默认的防火墙配置。第二次运行拱(但这应该没有任何区别)。
在 Fedora 系统上,我在端口 25025 上有一个 TCP 服务器。除非我已配置防火墙以允许该端口传入连接,否则 arch 主机上的 Java 软件会抛出 noroutetohost 异常,而在这种情况下,我希望连接被拒绝。
为什么会这样?
在涉及iptables/firewalld安全性时,通常有两种阻止流量的选项:DROP数据包或REJECT它。
REJECT导致icmp-host-prohibitedICMP 数据包被发送回客户端,通知他们终端主机拒绝了连接。这通常被您的应用程序描述为“连接被拒绝”。
DROP导致终端主机不响应 TCP 连接请求发送任何内容。由于没有返回任何内容,这在客户端看来与刚刚被某些路由器丢失或丢弃的数据包相同。由于客户端通常会多次尝试建立连接,因此它假定网络上的路由有问题(在这种情况下技术上是正确的)并报告问题是通过网络路由数据包。
因此,您的防火墙似乎只是在丢弃数据包,而没有选择发送通知其他节点的 ICMP 数据包。
| 归档时间: |
|
| 查看次数: |
4116 次 |
| 最近记录: |