web-dev-qa-db-ja.com

ファイアウォール:なぜホストへのルートがないのですか?

私は2つのノードを持つLANを持っています。 1つはFedoraを実行し、サーバーとして機能し、いくつかのデフォルトのファイアウォール構成がバンドルされています。 2回目はArchを実行します(ただし、違いはありません)。

Fedoraシステムでは、ポート25025にTCPサーバーがあります。そのポートの着信接続を許可するようにファイアウォールを構成していない限り、Java ArchHostのソフトウェアはnoroutetohostをスローします例外ですが、この状況では接続が拒否されると思います。

なぜそれがこのように起こるのですか?

networkingfedora
4
Mikhail Krutov

iptables/firewalldセキュリティに関しては、一般にトラフィックをブロックするための2つのオプションがあります。DROPパケットまたはREJECTそれです。

REJECTの結果はicmp-Host-prohibitedエンドホストが接続を拒否したことをクライアントに通知するICMPパケットがクライアントに返送されます。これは通常、アプリケーションによって「接続が拒否されました」と説明されます。

DROPの結果、エンドホストはTCP接続要求に応答してanythingを送信しません。何も返送されないため、これはクライアントに表示されます。クライアントは通常、接続の確立を複数回試行するため、ネットワーク上のルーティングに問題があると想定し(この場合は技術的に正しい)、次のように報告します。問題は、ネットワークを介したパケットのルーティングにあります。

したがって、ファイアウォールは、他のノードに通知するICMPパケットの送信を選択せず​​に、パケットをドロップしているように見えます。

5
Bratchley